Yarix, società a capo della linea di business Digital Security di Var Group, informa che un attacco sferrato nella giornata di ieri e diretto all’azienda Kaseya, società di Information Technology con sede in Florida, si è propagato alle aziende che utilizzano il suo software. Si tratta di un incidente di largo impatto a cui gli esperti stanno cercando di far fronte in queste ore.
Il team CERT di Yarix (YCERT) segnala che la nota gang cybercriminale REvil aka Sodinokibi ha compromesso il software di gestione e controllo remoto Kaseya. La compromissione di questo strumento è stata utilizzata, venerdì 2 luglio, per veicolare un attacco ransomware che, allo stato attuale, risulta aver colpito almeno 200 aziende americane e sicuramente diverse altre aziende nel mondo.
Nello specifico la gang ha colpito i clienti degli MSP che usano la piattaforma Kaseya VSA per distribuire il payload malevolo nelle infrastrutture gestite, sfruttando di fatto quello che risulta essere allo stato attuale uno degli elementi più critici in ambito di gestione del rischio di sicurezza IT: la supply-chain.
Kaseya VSA è una piattaforma MSP basata su cloud per la gestione centralizzata di PDL e server. La tipologia di attacco realizzata da REvil, grazie alla modalità operativa di Kaseya che prevede l’utilizzo di utenze amministrative per il deploy centralizzato di componenti sui sistemi finali, ha di fatto un impatto estremamente elevato nelle infrastrutture colpite, in quanto il payload responsabile della cifratura viene veicolato con successo in ogni sistema controllato.
Ad oggi questa tipologia di attacco rappresenta la più semplice, e allo stesso tempo invasiva, tecnica utilizzata, poiché i cybercriminali non hanno dovuto portare a termine azioni complesse per colpire più sistemi possibile, ma hanno sfruttato uno strumento aziendale lecito, presente nella maggior parte dei casi su tutti gli endpoint, per portare a termine un’azione massiva di cifratura dati.
Kaseya ha immediatamente reso disponibile nel proprio sito (http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689) un’advisory avvisando tutti i clienti di spegnere immediatamente eventuali server VSA on-premise in attesa di nuove comunicazioni, nel frattempo, i server SaaS di Kaseya sono stati spenti precauzionalmente e sono in corso analisi per il rilevamento della vulnerabilità sfruttata dagli attaccanti. Allo stato attuale Kaseya dichiara di aver probabilmente individuato la componente vulnerabile ed è in corso la preparazione di una patch.
Il team di Incident Response di Yarix (YIR) sta seguendo l’evoluzione della situazione fornendo supporto specialistico per la gestione di situazioni di incidente eventualmente accorse.
Nel frattempo, si sottolinea l’importanza di spegnere o scollegare dalla rete eventuali istanze di Kaseya VSA e disabilitare l’utenza amministrativa usata da Kaseya VSA per la gestione degli endpoint.
Si consiglia di contattare il team YIR in caso di necessità di supporto per verificare l’assenza di compromissioni latenti e garantire la messa in sicurezza di infrastrutture potenzialmente vulnerabili.