Nuovo attacco ransomware di REvil: chiesto riscatto record di 70 milioni in Bitcoin

Il gruppo REvil colpisce ancora, e lo fa richiedendo un riscatto record di 70 milioni di dollari. L'aggressione è stata organizzata attraverso un ransomware distribuito sfruttando una vulnerabilità su Kaseya VSA, piattaforma pensata per gestire servizi IT da remoto. Attraverso il software i cybercriminali sono riusciti ad attaccare diversi MSP (Managed Service Provider), impedendo l'accesso ai file a centinaia di compagnie. Come di consueto per questo tipo di malware, l'accesso ai file viene nuovamente garantito solo mediante il pagamento di un riscatto.

• Cos'è un ransomware e come proteggersi

Diverse aziende affidano la gestione della loro infrastruttura IT a servizi di terze parti, come gli MSP che si occupano ad esempio di distribuire gli aggiornamenti o monitorare i client utilizzati. Sfruttando un bug presente su Kaseya VSA, REvil è riuscito a inoculare nei server attaccati un aggiornamento programmato ad-hoc per cifrare i dati presenti e impedirne l'accesso, aggirando al contempo diverse feature di Microsoft Defender. Per riottenere l'accesso è necessario disporre della chiave di cifratura, pagando agli aggressori una cifra variabile da 50 mila dollari fino a diversi milioni di dollari, in base alle dimensioni dell'azienda.

REvil ha confermato ufficialmente di essere il responsabile dell'attacco, e si è detto disposto a cedere il "decryptor" universale solo dopo aver ricevuto 70 milioni di dollari in criptovalute, consentendo a tutte le realtà coinvolte di ripristinare i loro file in "meno di un'ora". Se venisse accettata la richiesta del gruppo si tratterebbe del pagamento più elevato mai effettuato in risposta ad un attacco ransomware.

Anche Kaseya ha confermato l'attacco lo scorso fine settimana, stimando inizialmente in meno di 40 gli MSP coinvolti nell'attacco e promettendo a breve una patch per mitigare la falla: "Sebbene i nostri primi indicatori suggerissero che solo un numero molto ridotto di clienti locali fosse interessato, abbiamo adottato un approccio conservativo nella chiusura dei server SaaS per assicurarci di proteggere i nostri oltre 36 mila clienti al meglio delle nostre capacità", ha commentato Fred Voccola, CEO di Kaseya. Voccola ha inoltre precisato che "solo una percentuale molto bassa dei clienti è stata colpita", e solo attraverso server VSA (on-premises) e non server SaaS. A scopo precauzionale, però, l'azienda ha inizialmente spento anche tutti i server SaaS.

HOMCOM Tavola SUP Gonfiabile Stand Up Paddle con Pagaia Regolabile, Tavola da Surf con Accessori Inclusi, Blu 305x76x10cm

Compra ora

Apple iPhone 12 mini (128GB) - nero

Compra ora

Bose Noise Cancelling Headphones 700 – Cuffie Over-Ear Bluetooth Wireless con Microfono Integrato per Chiamate Nitide e Controllo Vocale Alexa, Argento

219.90€ Compra ora

Secondo quanto riportato da Bloomberg lo scorso sabato, però, pare che l'attacco abbia coinvolto più di 1000 aziende in un effetto a catena. Questo perché essendo l'attacco concentrato su fornitori di servizi verso altre compagnie, anche queste ultime possono essere a loro volta coinvolte. REvil è già un nome decisamente noto nel panorama dei ransomware: ne avevamo già parlato a inizio 2020, e solo negli scorsi mesi aveva richiesto un riscatto di 50 milioni di dollari ad Acer. The Record ha fatto inoltre notare che questa potrebbe essere la terza volta che il gruppo sfrutta un software di Kaseya per portare a termine i propri attacchi.

E' intervenuto sulla vicenda anche il Presidente USA Joe Biden, in virtù del fatto che REvil è stato in precedenza collegato con la Russia. Non sono ancora stati individuati legami evidenti, ma se venissero scoperti Biden chiederà una risposta decisa da parte di Vladimir Putin. Meno di un mese fa infatti lo stesso Biden aveva richiesto un'azione forte contro REvil e altri gruppi ransomware russi che hanno preso di mira negli ultimi anni gli USA e altre nazioni. La situazione può essere monitorata costantemente sul sito ufficiale di Kaseya e su Huntress.com.