Era inevitabile che le due principali minacce alla sicurezza informatica del giorno – attacchi alla catena di approvvigionamento e ransomware – si unissero per provocare il caos. Questo è esattamente quello che è successo venerdì pomeriggio, quando il famigerato gruppo criminale REvil ha crittografato con successo i file di centinaia di aziende in un colpo solo, apparentemente grazie a un software di gestione IT compromesso. E questo è solo l’inizio.
La situazione è ancora in via di sviluppo e alcuni dettagli, soprattutto il modo in cui gli aggressori si sono infiltrati nel software, rimangono sconosciuti. Ma l’impatto è già stato grave e non potrà che peggiorare data la natura degli obiettivi. Il software in questione, Kaseya VSA, è popolare tra i cosiddetti fornitori di servizi gestiti, che forniscono l’infrastruttura IT per le aziende che preferiscono esternalizzare quel genere di cose piuttosto che gestirle da sole. Ciò significa che se si hackera con successo un MSP, si ha improvvisamente accesso ai suoi clienti. È la differenza tra scassinare le cassette di sicurezza una alla volta e rubare la chiave scheletrata del direttore di banca.
Finora, secondo la società di sicurezza Huntress, REvil ha hackerato otto MSP. I tre con cui lavora Huntress rappresentano direttamente 200 aziende che hanno trovato i loro dati crittografati venerdì. Non ci vuole molta estrapolazione per vedere quanto peggio vada da lì, soprattutto data l’ubiquità di Kaseya.
“Kaseya è la Coca-Cola della gestione remota”, afferma Jake Williams, chief technology officer della società di risposta agli incidenti BreachQuest. “Poiché stiamo andando in un fine settimana di vacanza, non sapremo nemmeno quante vittime ci sono là fuori fino a martedì o mercoledì della prossima settimana. Ma è monumentale».
Il peggio di entrambi i mondi
Gli MSP sono stati a lungo un obiettivo popolare, in particolare degli hacker di stati nazionali. Colpirli è un modo straordinariamente efficiente per spiare, se riesci a gestirlo. Come ha mostrato un’accusa del Dipartimento di Giustizia nel 2018, le spie cinesi dell’APT10 hanno usato compromessi MSP per rubare centinaia di gigabyte di dati da dozzine di aziende. REvil ha preso di mira anche gli MSP in precedenza, usando il suo punto d’appoggio in una società IT di terze parti per dirottare 22 comuni del Texas contemporaneamente nel 2019.
Anche gli attacchi alla catena di approvvigionamento sono diventati sempre più comuni, in particolare nella devastante campagna SolarWinds dello scorso anno che ha consentito alla Russia di accedere a più agenzie statunitensi e a innumerevoli altre vittime. Come gli attacchi MSP, anche gli hack della supply chain hanno un effetto moltiplicativo; contaminare un aggiornamento software può produrre centinaia di vittime.
Puoi iniziare a capire, quindi, perché un attacco alla catena di approvvigionamento che prende di mira gli MSP ha conseguenze potenzialmente esponenziali. Aggiungi ransomware paralizzante al sistema e la situazione diventa ancora più insostenibile. Mi viene in mente il devastante attacco NotPetya , che ha utilizzato anche un compromesso sulla catena di approvvigionamento per diffondere quello che all’inizio sembrava un ransomware ma era in realtà un attacco a uno stato nazionale perpetrato dalla Russia. Mi viene in mente anche una campagna russa più recente.
“Questo è SolarWinds, ma con ransomware”, afferma Brett Callow, analista di minacce presso la società di antivirus Emsisoft. “Quando un singolo MSP viene compromesso, può avere un impatto su centinaia di utenti finali. E in questo caso sembra che siano stati compromessi più MSP, quindi…”
Williams di BreachQuest afferma che REvil sembra chiedere alle aziende vittime l’equivalente di circa $ 45.000 nella criptovaluta Monero . Se non pagano entro una settimana, la domanda raddoppia. Il sito di notizie sulla sicurezza BleepingComputer riporta che REvil ha chiesto ad alcune vittime $ 5 milioni per una chiave di decrittazione che sblocchi “tutti i PC della tua rete crittografata”, che potrebbe essere mirata specificamente agli MSP piuttosto che ai loro clienti.
“Parliamo spesso del fatto che gli MSP siano la nave madre per molte aziende e organizzazioni di piccole e medie dimensioni”, afferma John Hammond, ricercatore senior per la sicurezza presso Huntress. “Ma se Kaseya è ciò che viene colpito, i cattivi attori hanno appena compromesso tutte le loro navi madri”.
Semmai, è forse sorprendente che gli hacker dietro questo attacco abbiano scelto di utilizzare il ransomware, dato il valore di un trespolo che si sono creati. “Bruciare rapidamente l’accesso per la distribuzione di ransomware non sembra un’idea intelligente”, afferma un ricercatore di sicurezza che si chiama MalwareHunterTeam. Un gruppo statale, ad esempio, troverebbe quel tipo di punto d’appoggio prezioso per lo spionaggio. E’ un bellissimo tunnel da scavare solo per farlo esplodere subito.
Tempi difficili
Non è ancora chiaro come sia avvenuto il compromesso iniziale, anche se finora sembra interessare solo le aziende che eseguono Kesaya VSA on-premise rispetto a come software-as-a-service dal cloud. “Stiamo indagando su un potenziale attacco contro VSA che indica che è stato limitato a un numero limitato di clienti locali”, afferma Dana Liedholm, vicepresidente senior delle comunicazioni aziendali per Kaseya “Abbiamo spento in modo proattivo i nostri server SaaS per abbondanza di prudenza».
Ciò si allinea con un avviso che Kaseya ha pubblicato questo pomeriggio per i suoi clienti: “Stiamo indagando sulla causa principale dell’incidente con molta cautela, ma ti consigliamo di spegnere IMMEDIATAMENTE il tuo server VSA fino a quando non ricevi ulteriore avviso da noi”, ha scritto la società. “È fondamentale che tu lo faccia immediatamente, perché una delle prime cose che fa l’attaccante è bloccare l’accesso amministrativo al VSA”.
Al momento della stesura di questo documento, anche i server VSA di Kaseya sono ancora offline. In una dichiarazione via e-mail inviata venerdì sera, il CEO di Kaseya Fred Voccola ha confermato che i clienti SaaS dell’azienda “non sono mai stati a rischio” e che si aspetta che il servizio venga ripristinato entro 24 ore. La società afferma di aver individuato la fonte della vulnerabilità e sta già lavorando a una patch per i clienti locali che potrebbero essere potenziali bersagli. Ha anche messo il numero stimato di vittime a “meno di 40” in tutto il mondo, anche se, ancora una volta, gli hacker possono utilizzare anche una manciata di vittime MSP come trampolino di lancio per raggiungere un ordine di grandezza in più di obiettivi.
Indipendentemente da come si è verificata la compromissione iniziale, gli aggressori sono stati in grado di distribuire il loro pacchetto di malware agli MSP, che include il ransomware stesso, una copia di Windows Defender e un certificato scaduto ma legittimamente firmato che non è stato ancora revocato. Il pacchetto è progettato per eludere i controlli malware di Windows con una tecnica chiamata sideloading che consente l’esecuzione del ransomware.
Anche un avviso di venerdì scorso della US Cybersecurity and Infrastructure Security Agency non è riuscito a far luce sulla causa principale. “CISA si sta attivando per comprendere e affrontare il recente attacco ransomware alla catena di approvvigionamento contro Kaseya VSA e i molteplici fornitori di servizi gestiti (MSP) che utilizzano il software VSA”, ha scritto l’agenzia. “CISA incoraggia le organizzazioni a rivedere l’avviso Kaseya e seguire immediatamente le loro indicazioni per spegnere i server VSA”.
Tra i misteri – e uno che probabilmente non sarà mai risolto in modo soddisfacente – c’è il motivo per cui REvil avrebbe preso questa strada. È in grado di realizzare enormi profitti se un numero sufficiente di vittime paga. Ma colpendo centinaia di aziende contemporaneamente, ha anche attirato su di sé un’attenzione eccessiva, simile all’attacco ransomware di Darkside a Colonial Pipeline il mese scorso. Resta anche da vedere quali effetti a catena potrebbe avere la crittografia di queste centinaia di aziende, specialmente quando l’attacco era probabilmente programmato per colpire quando la maggior parte di loro è a corto di personale prima del fine settimana festivo del 4 luglio negli Stati Uniti. In breve, è incredibilmente avventato, anche per un gruppo non noto per la sua moderazione.
“Sono sicuro che queste persone sapessero che stavano colpendo moltissimi clienti e che non potevano prevedere l’intero impatto”, afferma Williams. “Sapevano che stavano lanciando dadi pesanti, e con questo numero di vittime non c’è modo che questo non si ritorcerà contro”.
Resta da vedere quale forma assumerà. Ma la prossima fase dell’evoluzione del ransomware è ufficialmente arrivata e le conseguenze saranno estreme. Lo sono già.