A cura di Charles Carmakal, SVP and CTO, Mandiant
Il 2 luglio 2021 un affiliato di REvil/Sodinokibi ha sfruttato diverse vulnerabilità nel prodotto Kaseya VSA in modo da distribuire un ransomware encryptor agli endpoint collegati.
Kaseya VSA è una soluzione di monitoraggio e gestione da remoto, utilizzata dai managed service provider (MSP) e dalle organizzazioni per gestire da remoto i sistemi informatici. Il numero di organizzazioni colpite non è attualmente noto, ma Kaseya stima che le aziende colpite dal ransomware REvil siano inferiori alle 1.500. Molte di esse sono imprese familiari, molto piccole, che stanno scoprendo solo ora, essendo avvenuto nel fine settimana, gli impatti dell’attacco.
Il ransomware-as-a-service (RaaS) REvil è commercializzato nei forum clandestini dal maggio 2019. Nel modello di business dei RaaS, un gruppo centrale sviluppa il ransomware, comunica con le vittime e gestisce l’infrastruttura del back end, mentre i partner o gli affiliati realizzano intrusioni e distribuiscono il ransomware. Il RaaS è gestito dall’attore “UNKN” (aka “Unknown”) che non accetta partner di lingua inglese e non consente ai partner di colpire i paesi della CSI, inclusa l’Ucraina. Mentre gli affiliati conosciuti sono di lingua russa, è probabile che alcuni degli attori non risiedano fisicamente in Russia. A seguito dell’incidente di Colonial Pipeline, UNKN si è impegnato per limitare gli obiettivi dei affiliati di REvil, insistendo sul controllare gli obiettivi prima di effettuare la distribuzione del ransomware.
REvil si è attribuito il merito dell’operazione la sera del 4 luglio, sostenendo di aver colpito oltre un milione di sistemi e chiedono 70 milioni di dollari per un decrittatore universale che potrebbe essere utilizzato per sbloccare ogni sistema colpito da questo attacco. La richiesta è enorme e la più grande mai rilevata. Durante conversazioni private, REvil ha abbassato le richieste. Loro, infatti, sono ben noti per aumentare la reale portata e impatto delle loro intrusioni. In questo momento, inoltre, REvil non ha fatto trapelare i dati ottenuti dalle loro intrusioni, schema che spesso utilizzano per spingere le vittime a pagare il riscatto. Finché i cyber criminali possono chiedere riscatti di decine di milioni di dollari e abbiano scarse probabilità di affrontare la prigione, questo problema continuerà a crescere sempre più. Questi attori sono ben finanziati e fortemente motivati e solo un’azione coordinata e forte potrà arginare queste attività.
