Mega attacco ransomware via Kaseya

Diffondi il sapere

Il 2 luglio Kaseya, società che fornisce sistemi di monitoraggio della rete, ha subito quello che al momento è stato definito il più grande attacco ransomware della storia. Attacco che a cascata sta interessando circa 1500 aziende, alcune anche italiane. In seguito alle segnalazioni ricevute l’azienda ha chiesto ai propri clienti di spegnere i server per limitare la diffusione del malware, ed è stata disattivata l’infrastruttura SaaS.

I criminali

L’attacco per il momento non è stato attribuito a nessuno ma esperti di sicurezza credono sia opera del gruppo REvil con base in Russia. La Casa Bianca ha dichiarato che, se il governo russo non farà nulla per bloccare i cybercriminali, gli Stati Uniti agiranno direttamente.

Vulnerabilità conosciute

Ad aprile un gruppo di ricercatori olandesi aveva segnalato sette vulnerabilità presenti sulla piattaforma di Kaseya ma l’azienda aveva posto rimedio solo ad alcune di esse, tre bug non erano ancora stati corretti. Uno di essi è stato sfruttato per effettuare l’attacco. La vulnerabilità è identificata con CVE-2021-30120 ed è servita ad aggirare l’autenticazione a due fattori e installare il ransomware.

Malawarebytes ha intanto scoperto una campagna di spam che sta cercando di sfruttare la situazione inviando una presunta patch, camuffando invece l’installazione del tool Cobalt Strike che consente l’accesso remoto.

Approfondimenti esterni

Mega attacco ransomware mondiale, via Kaseya [cybersecurity360.it]

REvil ransomware contro Kaseya, impatto limitato [punto-informatico.it]

Vulnerabilità Kaseya VSA segnalate tre mesi fa [punto-informatico.it]


Diffondi il sapere

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *