Secondo il dipartimento di sicurezza, centinaia di aziende americane sono state colpite dal ransomware. Attacca paralizzando almeno 200 reti statunitensi.
Secondo John Hammond di Huntress Labs, il gruppo REvil, un grande gruppo ransomware di lingua russa, sembra essere dietro l’attacco.
Venerdì, John Hammond, un ricercatore di una società di cybersecurity e di sicurezza Huntress Labs, ha detto che il gruppo REvil, un grande gruppo ransomware di lingua russa, sembra essere dietro l’attacco.
La società di software Kaseya utilizza la sua rete di pacchetti di controllo come canale per la distribuzione di ransomware attraverso i fornitori di cloud.
Altri ricercatori sono d’accordo con la valutazione di Hammond. Si espande alle imprese di tutte le dimensioni e scale, ha detto Hammond in un tweet diretto. Questa è una catena di approvvigionamento enorme e distruttiva. Se aggiornati automaticamente, questi cyberattacchi di solito penetrano Malware ampiamente utilizzati che si diffondono nel software.
Ransomware hits hundreds of US companies, security firm says https://t.co/ruOqcL2x7w
— The Boston Globe (@BostonGlobe) July 3, 2021
Non è chiaro quanti clienti possano essere colpiti da Kaseya o chi possano essere. In una dichiarazione sul suo sito web, Kaseya ha invitato i clienti a chiudere immediatamente i server che eseguono il software vulnerabile.
Ha detto che Brett Callow, un esperto di ransomware presso la società di cybersicurezza Emsisoft, ha detto che l’attacco è stato limitato ad una piccola quantità, Ha aggiunto che non era a conoscenza di tali attacchi ransomware su larga scala sulla catena di approvvigionamento prima.
Attacco ransomware
Secondo lui, ce ne sono altri, ma sono molto banali. Tuttavia, questo è SolarWinds con ransomware.
Si riferisce all’attività di cyber hacking russa scoperta nel dicembre dello scorso anno, che si è diffusa attraverso l’infezione del software di gestione della rete ed è penetrata nelle agenzie federali statunitensi e in decine di aziende.
Il presidente di Rendition Infosec, il ricercatore di Network Security Jack Williams, ha detto di aver lavorato con sei aziende colpite dal ransomware.
Ha aggiunto che non è una coincidenza che ciò sia accaduto prima del fine settimana del 4 luglio, quando i professionisti IT sono generalmente a corto di personale.
Non dubito che il tempismo qui sia stato intenzionale, ha detto Hammond di Huntress, che sapeva che quattro fornitori di servizi di hosting (aziende che ospitano infrastrutture IT per più clienti) sono stati attaccati dal ransomware, che ha usato per crittografare la rete.
La vittima paga l’aggressore. Inoltre, ha detto che migliaia di computer sono stati attaccati. Attualmente abbiamo tre partner Huntress che sono stati colpiti da circa 200 società di crittografia, ha detto Hammond.
Tipico attacco alla catena di approvvigionamento
Hammond ha scritto su Twitter: Da quello che vediamo ora, crediamo fermamente che questo sia REvil/Sodinikibi. L’FBI ha segnalato la stessa società di ransomware a JBS, il più grande processore di carne del mondo, nel mese di maggio. Inoltre, l’attacco SA è collegato.
La Federal Infrastructure Security and Cyber Security Agency ha detto in una dichiarazione di venerdì che sta monitorando da vicino la situazione e sta lavorando con l’FBI per raccogliere ulteriori informazioni.
La CISA invita chiunque possa essere colpito a spegnere immediatamente il server VSA seguendo le istruzioni di Kasei. Inoltre, Kaseya ha introdotto il cosiddetto virtual system manager o VSA per la gestione e il monitoraggio remoto delle reti dei clienti.
Tuttavia, l’azienda privata Kaseya ha sede a Dublino, Irlanda, e collabora con gli Stati Uniti. Il Miami Herald l’ha recentemente descritta come una delle più antiche aziende tecnologiche di Miami in un rapporto. L’azienda prevede di assumere fino a 500 persone entro il 2022 per sviluppare una piattaforma di cybersecurity appena acquisita.
Brian Honan, un consulente irlandese di cybersicurezza, ha detto via e-mail venerdì: Questo è un tipico attacco alla catena di approvvigionamento. I criminali hanno compromesso un fornitore di fiducia dell’impresa e hanno usato questa fiducia per attaccare i loro clienti.
Inoltre, ha detto che le piccole imprese potrebbero avere difficoltà a difendersi da questi tipi di attacchi perché si fidano della sicurezza del fornitore e del software che usano è l’unica buona notizia, ha detto Williams di Rendition Infosec.
REvil – rubare i dati dell’obiettivo
Molti dei nostri clienti non installano Kaseya su ogni macchina della loro rete. Questo rende difficile per gli aggressori penetrare nei sistemi informatici dell’azienda. Questo rende un recupero più facile, ha detto. Un’organizzazione chiamata REvil è attiva da aprile 2019, fornendo servizi di ransomware.
Ciò significa che ho sviluppato un software che danneggia Internet e lo ha affittato ai cosiddetti affiliati che hanno ricevuto la maggior parte del riscatto. La società di sicurezza della rete Palo Alt on the Network ha dichiarato in un recente rapporto che REvil è uno dei gruppi di ransomware che rubano i dati di destinazione prima di attivare il ransomware.
Ha aumentato i suoi sforzi per il ransomware di circa l’anno scorso – 500.000 dollari. Alcuni esperti di cybersicurezza prevedono che il gruppo sarà difficile da affrontare.