Home Prodotti Sicurezza Cyberattacco REvil a Kaseya, sono 1500 le aziende colpite

Cyberattacco REvil a Kaseya, sono 1500 le aziende colpite

Il 3 luglio Kaseya, società sviluppatrice di una soluzione di Unified IT Management, ha confermato ufficialmente che il proprio prodotto VSA era stato vittima di un sofisticato cyberattacco di tipo ransomware. VSA è un prodotto che fornisce una soluzione combinata di endpoint management e network monitoring.

In un primo momento l’azienda aveva ritenuto che l’attacco informatico fosse ristretto solo a un numero molto limitato di clienti on-premise. E in effetti potrebbe essere così, ma a cascata l’attacco è diventato molto più grosso.

Kaseya ha pubblicato e mantiene costantemente aggiornata una pagina con informazioni in merito a questo incidente di sicurezza. L’azienda si è messa inoltre al lavoro per mettere in sicurezza le implementazioni sia on-premise che SaaS del proprio software.

Il giorno prima, il 2 luglio, molti server Kaseya VSA sono stati utilizzati per distribuire il ransomware.

Vista la natura del software, l’attacco avrebbe scatenato un effetto a catena colpendo molte più aziende. La stessa Kaseya, nei propri aggiornamenti sull’incidente, ha confermato ufficialmente di essere a conoscenza di meno di 60 clienti di Kaseya che utilizzano il prodotto VSA on-premise che sono stati direttamente compromessi da questo attacco.

Tuttavia, molti di questi clienti forniscono servizi It a diverse altre aziende, e quindi l’impatto totale potrebbe essere di circa 1.500 aziende coinvolte, a valle di quelle colpite direttamente.

Kaseya attacco Huntress

La società di cybersecurity Huntress ha seguito sin dall’inizio l’attacco e dato supporto a diverse aziende colpite. Sulla sua pagina di risposte all’incidente, la società afferma che il team di Huntress continua a indagare sull’attacco alla supply chain di Kaseya VSA che sta attualmente colpendo un numero crescente di MSP, rivenditori e i loro clienti.

Dietro l’attacco sembrerebbe esserci un affiliato di REvil/Sodinokibi. REvil avrebbe richiesto un riscatto di 70 milioni di dollari per “rilasciare” i sistemi colpiti dall’attacco, secondo alcune fonti riportate da media americani.

Parallelamente al lavoro per risolvere il problema, insieme a partener esterni, Kaseya ha messo in atto alcune mosse per rispondere all’attacco: innanzitutto spegnendo i server VSA SaaS che hanno questa vulnerabilità e chiedendo ai clienti on-premise di spegnerli immediatamente.

Poi contattando e collaborando con l’FBI nel processo di gestione del cyberattacco. E con altre attività.

Da parte sua, i ricercatori della società di cybersecurity Huntress hanno confermato che i criminali informatici hanno sfruttato una vulnerabilità di arbitrary file upload e code injection, e ritengono che un bypass di autenticazione sia stato utilizzato per ottenere l’accesso a questi server.

I ricercatori hanno anche replicato con successo l’exploit di REvil/Sodinokibi dei server Kaseya VSA e stanno lavorando alle mitigazioni.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php