Studio postmoderno/Shutterstock.com
Kaseya, un’azienda tecnologica aziendale, è l’ ultima vittima di un ransomware dannoso. La società ha confermato che circa 1.500 aziende sono state colpite dall’attacco durante il fine settimana del 4 luglio, anche se gli aggressori affermano di aver già colpito oltre un milione di computer.
Apparentemente, gli aggressori hanno effettuato un attacco ransomware alla catena di approvvigionamento sfruttando (naturalmente) una vulnerabilità precedentemente sconosciuta nel software VSA dell’azienda contro i propri clienti e diversi fornitori di servizi gestiti. VSA è il software di gestione e monitoraggio remoto dell’azienda utilizzato per la gestione e l’aggiornamento degli endpoint (come PC o registratori di cassa).
“Ad oggi, siamo a conoscenza di meno di 60 clienti Kaseya, che utilizzavano tutti il prodotto VA on-premise, che sono stati direttamente compromessi da questo attacco. Sebbene molti di questi clienti forniscano servizi IT a diverse altre società, comprendiamo che l’impatto totale finora è stato su meno di 1.500 aziende a valle. Non abbiamo trovato prove che nessuno dei nostri clienti SaaS sia stato compromesso", ha affermato Kaseya in un aggiornamento.
L’attacco è stato inizialmente lanciato venerdì 2 luglio. Kaseya ha rilasciato ai clienti uno strumento di rilevamento delle compromissioni il giorno successivo, che analizzerebbe i server e gli endpoint per verificare se sono stati rilevati indicatori di compromissione. Domenica 4 luglio, gli attori hanno chiesto 70 milioni di dollari in Bitcoin in cambio del loro strumento di decrittazione universale. Il giorno successivo, Kaseya ha annunciato una patch per i clienti in sede, che dovrebbe essere lanciata entro 24 ore dopo che i suoi server SaaS saranno tornati online.
Durante il fine settimana, Kaseya ha incontrato l’FBI e la CISA per discutere le misure di sicurezza, come i sistemi e i requisiti di protezione della rete. La società ha inoltre osservato: "Prima del riavvio del servizio verrà pubblicata una serie di requisiti per dare ai nostri clienti il tempo di mettere in atto queste contromisure in previsione del ritorno in servizio il 6 luglio".
I server di Kaseya sono rimasti offline giorni dopo l’attacco, che ha colpito aziende importanti come Coop, un franchising di negozi di alimentari svedese con oltre 800 negozi i cui registratori di cassa sono andati in crash. Kaseya afferma che fornirà ulteriori dettagli sull’attacco e terrà i clienti al passo con gli sforzi di sicurezza e una sequenza temporale di ripristino completa mentre avanzano.
tramite ZDNet