Il famigerato gruppo di cybercriminali, REvil, ha infettato migliaia di vittime in almeno 17 paesi, in gran parte attraverso aziende che gestiscono in remoto l’infrastruttura IT per più clienti.
Dopo gli attacchi contro Travelex, Acer e JBS il nuovo bersaglio di REvil è Kaseya VSA, una piattaforma cloud per la gestione dei servizi IT. Il ransomware è stato installato tramite un aggiornamento software. I team di sicurezza informatica hanno lavorato febbrilmente domenica per arginare l’impatto di quello che è già stato definito come il più grande attacco globale di ransomware mai registrato.
REvil chiedeva riscatti fino a 5 milioni di dollari, hanno comunicato i ricercatori informatici che si sono occupati dell’attacco, ma domenica ha offerto in un post diffuso sul deep web una chiave software universale di decrittazione che avrebbe decodificato tutte le macchine colpite in cambio di 70 milioni di dollari in criptovaluta.
Una vasta gamma di aziende e agenzie pubbliche è stata colpita dall’ultimo attacco, apparentemente in tutti i continenti, compresi i servizi finanziari, i viaggi e il tempo libero e il settore pubblico, anche se poche grandi aziende, ha riferito la società di sicurezza informatica Sophos. I criminali ransomware si infiltrano nelle reti e seminano malware che li paralizza rimescolando tutti i loro dati e le vittime ricevono una chiave di decodifica quando pagano.
La catena di generi alimentari svedese Coop ha affermato che la maggior parte dei suoi 800 negozi saranno chiusi per un secondo giorno domenica in quanto il loro fornitore di software per registratori di cassa è stato paralizzato. Colpite anche una catena di farmacie svedesi, una catena di distributori di benzina, la ferrovia statale e l’emittente pubblica SVT.
L’amministratore delegato di Kaseya, Fred Voccola, ha stimato il numero delle vittime in poche migliaia, per lo più piccole imprese come “studi dentistici, studi di architettura, centri di chirurgia plastica, biblioteche”, dichiarando che solo tra 50-60 dei 37.000 clienti dell’azienda sono stati compromessi. Ciononostante, il 70% erano provider di servizi gestiti che utilizzano il software VSA violato dell’azienda per gestire più clienti. Automatizza l’installazione di software e aggiornamenti di sicurezza e gestisce i backup e altre attività vitali.
Precedentemente, l’FBI ha dichiarato che la sua portata potrebbe essere tale da non essere in grado di rispondere a ciascuna vittima individualmente. Il vice consigliere per la sicurezza nazionale Anne Neuberger ha successivamente rilasciato una dichiarazione in cui affermava che il presidente Joe Biden aveva “diretto tutte le risorse del governo per indagare su questo incidente” e ha esortato tutti coloro che credevano di essere stati compromessi ad allertare l’FBI.
https://www.securityweek.com/scale-details-massive-kaseya-ransomware-attack-emerge