Il successo dell'attacco ransomware al software Virtual Systems Administrator (VSA) di Kaseya colpisce un gran numero di aziende che utilizzano questo software. Un commento di Mark Loman, Director of Engineering di Sophos, sul recente attacco ransomware REvil a Kaseya.
“Da quando l'ultimo attacco ransomware REvil è diventato noto, Sophos ha condotto numerose indagini e ha classificato l'attacco nella categoria 'Distribuzione della catena di distribuzione'. I criminali utilizzano i fornitori di servizi gestiti (MSP) come "piattaforma di distribuzione" per prendere di mira il maggior numero possibile di aziende, indipendentemente dalle dimensioni o dal settore.
Il ransomware utilizza gli MSP come piattaforma di distribuzione
Stiamo assistendo a uno schema ricorrente in questo caso, poiché gli aggressori adattano continuamente i loro metodi per massimizzare l'impatto, sia dal punto di vista finanziario che per rubare credenziali e altre informazioni proprietarie che potrebbero utilizzare in seguito. In altri attacchi su larga scala che abbiamo visto in passato, come WannaCry, il ransomware stesso era il distributore. Nel caso attuale, poco dopo l'attacco, era chiaro che un partner REvil ransomware-as-a-service (RaaS) stava utilizzando un exploit zero-day per distribuire il ransomware attraverso il software Virtual Systems Administrator (VSA) di Kaseya. In genere, questo software fornisce un canale di comunicazione altamente affidabile che consente agli MSP un accesso privilegiato illimitato per aiutare molte aziende con i loro ambienti IT. È proprio questa piattaforma che ora è stata riproposta come distributore del ransomware".
riscatto a milioni
“Alcuni gruppi di ransomware di successo hanno rubato milioni di dollari di riscatto ultimamente, consentendo loro potenzialmente di acquistare exploit zero-day molto preziosi. Alcuni exploit in genere sono stati fattibili solo a livello di stato-nazione, che in genere utilizza questi strumenti specificamente per un attacco specifico e isolato. Nelle mani dei criminali informatici, un tale "exploit premium" per una vulnerabilità in una piattaforma globale può colpire molte aziende contemporaneamente e avere un impatto sulla nostra vita quotidiana".
Basato su Sophos Threat Intelligence, REvil è stato particolarmente attivo nelle ultime settimane, incluso l'attacco JBS, ed è attualmente la banda di ransomware dominante coinvolta nei casi di risposta alle minacce gestite difensive di Sophos.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.