Il 2 luglio 2021, un utente REvil/Sodinokibi ha sfruttato molteplici vulnerabilità nel prodotto Kaseya VSA per distribuire un crittografo ransomware agli endpoint connessi. È la richiesta di riscatto più alta della storia. Un commento di Charles Carmakal, SVP e CTO, Mandiant.
Kaseya VSA è una soluzione di monitoraggio e gestione remota utilizzata dai Managed Service Provider (MSP) e dalle aziende per gestire in remoto i sistemi informatici. Il numero di organizzazioni interessate dall'interruzione del ransomware REvil è attualmente sconosciuto, ma Kaseya stima che il numero di casi sia inferiore a 1.500. Molte delle aziende interessate sono aziende familiari molto piccole che, a causa del fine settimana festivo negli Stati Uniti, hanno scoperto l'impatto in ritardo.
REvil ransomware come servizio (RaaS)
REvil Ransomware-as-a-Service (RaaS) è stato promosso sui forum clandestini in lingua russa da maggio 2019. Nel modello di business RaaS, un gruppo centrale sviluppa il ransomware, comunica con le vittime e gestisce l'infrastruttura di back-end. Partner o gruppi affiliati eseguono gli attacchi e diffondono il ransomware. Il RaaS è gestito dall'hacker "UNKN" (alias "Unknown"), che non accetta partner di lingua inglese e non consente ai partner di attaccare i paesi della CSI, compresa l'Ucraina. Gli utenti noti sono di lingua russa, ma è probabile che alcuni dei partecipanti non risiedano fisicamente in Russia. Dopo l'attacco al Colonial Pipeline, UNKN ha compiuto sforzi per restringere il campo degli utenti di REvil e ha insistito per controllare gli obiettivi prima di distribuire il ransomware.
REvil chiede un riscatto di 70 milioni di dollari
Charles Carmakal, SVP e CTO, cliente (Immagine: FireEye)
REvil ha rivendicato l'attacco la sera del 4 luglio e ha affermato di aver colpito più di un milione di sistemi. Chiedono 70 milioni di dollari per una chiave di decrittazione universale che può essere utilizzata per sbloccare qualsiasi sistema interessato. Questa somma esorbitante è la più alta della storia. Nelle conversazioni private, REvil ha abbassato in modo proattivo le sue richieste. Sono anche noti per esagerare la portata e l'impatto dei loro attacchi. Inoltre, REvil non ha ancora rilasciato alcun dato relativo alle infiltrazioni. Un metodo che usano spesso per costringere le loro vittime a pagare. Finché i criminali possono richiedere decine di milioni di dollari di riscatto e non affrontare il carcere, questo problema non farà che peggiorare. Questi gruppi sono ben finanziati e altamente motivati, e solo un'azione collettiva determinata può invertire la tendenza.
Altro su FireEye.com
A proposito di Trellix Trellix è un'azienda globale che ridefinisce il futuro della sicurezza informatica. La piattaforma XDR (Extended Detection and Response) aperta e nativa dell'azienda aiuta le organizzazioni che affrontano le minacce più avanzate di oggi a ottenere la certezza che le loro operazioni siano protette e resilienti. Gli esperti di sicurezza di Trellix, insieme a un vasto ecosistema di partner, accelerano l'innovazione tecnologica attraverso l'apprendimento automatico e l'automazione per supportare oltre 40.000 clienti aziendali e governativi.