Ha il sapore di un’operazione su larga scala in uno scenario da cyberwar, l’attacco ransomware, contro l’azienda americana che produce il software Vsa, Kaseya, e che ha coinvolto a cascata centinaia di aziende (la maggior parte americane), avvenuto nel corso del primo weekend di luglio. Sarebbe opera del gruppo Revil, di origini russe, che solo qualche settimana fa ha messo sotto scacco, sempre con un attacco ransomware, l’azienda Jbs Meats (mercato alimentare) con la richiesta di un riscatto per 11 milioni di dollari, mentre al momento non esistono prove concrete che si tratti di un’operazione con il coinvolgimento degli apparati governativi.
Ecco in sintesi cosa è accaduto. Kaseya produce soluzioni per la gestione da remoto dell’infrastruttura IT utilizzate soprattutto da piccole e medie aziende. E Vsa, la soluzione di accesso remoto sotto attacco, permette anche il controllo remoto di reti, server e appliance. Si tratta di un software che a sua volta è proposto da partner e system integrator ai propri clienti, le cui aziende indirettamente si sono quindi trovate sotto scacco ransomware con la richiesta di riscatto variabili, a seconda dell’importanza dell’azienda, tra 50mila e 5 milioni di dollari.
Questa tipologia di attacco, è evidente come sia in grado di mettere in crisi in poco tempo le supply chain aziendali, e diffondersi in modo veloce, con un alto rapporto tra lo sforzo necessario per diffondere l’attacco e gli effetti ottenuti. In questo caso con un ulteriore ritorno “mediatico”. Sono circa 40mila al momento in cui scriviamo i computer infettati, con una rapida penetrazione nei network dei clienti agevolata proprio dalle scelte di architetture IT basate anche sull’adozione di servizi cloud e di servizi di sicurezza non correttamente protetti.
Di fatto, una volta diffuso il ransomware, per evitare che i dati vengano criptati, le aziende vittime degli attacchi non hanno altra possibilità se non quella di “isolare” completamente i pc ed i device dalla rete, con la prima conseguenza quindi di vedere messi in crisi processi e operation.
Non a caso Kaseya, l’azienda IT attaccata avverte della criticità di spegnere i server su cui viene eseguito Vsa, come spiega Lavi Lazarovitz, senior director cyber research di Cyberark, questo serve “perché una delle prime azioni compiute dall’attaccante è vietare l’accesso amministrativo a Vsa”. E’ evidente quindi come monitoraggio e protezione degli accessi privilegiati siano fondamentali per identificare e mitigare il rischio di movimenti laterali e ulteriori compromissioni della rete.
Solo per fare un esempio che ben rivela come un’azione di attacco su larga scala, partendo da un unico obiettivo, abbia di fatto conseguenze non facilmente “contenibili” dal punto di vista “geografico”, possiamo evidenziare come dopo l’attacco, una catena europea di supermercati si è vista bloccati i terminali di cassa, con relativi importanti disagi anche sui clienti finali.
La supply chain sfruttata dal ransomware per la sua diffusione è di fatto anche la prima vittima dell’attacco, ma allo stesso tempo l’attacco ben evidenzia come prendere di mira non il target finale ma un comun denominatore dei target – in questo caso un’azienda informatica che fornisce servizi – consenta di amplificare in modo sensibile gli effetti.
Ad aprile, Palo Alto Networks, con il suo threat intelligence team di ha stilato la sua top ten sulle minacce ransomware riscontrate nel corso dello scorso anno, dove il grupo Revil figurava al sesto posto per numero di vittime “mietuto” da attacchi ransomware, mentre l’analisi di Zscaler compiuta a fine maggio di quest’anno evidenzia come lo stesso gruppo è conosciuto per il ransomware Sodinokibi, individuato per la prima volta ad aprile di due anni fa ma con all’attivo oltre 125 attacchi importanti.
Il ransomware utilizza email di spam, kit di exploit e account Rdp compromessi, ed è noto anche per avere inaugurato campagne con tattiche a doppia estorsione già nel gennaio 2020, con obiettivi principali scelti nel comparto trasporti, manifatturiero e retail (ingrosso e dettaglio). La scelta di alzare la mira, puntando ad un’azienda IT (Kaseya) e ad una sua soluzione (Vsa) di fatto, come vettore, offre importanti indicazioni su quello che potrebbe essere un futuro scenario, di attacchi estesi su larga scala facendo leva proprio sui fornitori di software e servizi.
Affianco al tema tecnologico si innesta di conseguenza la riflessione geo-politica. E’ evidente come prendere di mira gli asset economici dei Paesi avversari – ma anche semplicemente di un avversario/competitor – sfruttando la tecnologia, offra una serie di vantaggi all’attaccante tra cui l’impossibilità in tanti casi di riuscire a risalire all’effettivo “colpevole”.
E’ chiaro anche quanto stiano diventando “sensibili” gli obiettivi IT, e quanto alto possa essere il livello del rischio nel caso in cui, in un clima di escalation in risposta agli attacchi, si decida di alzare l’asticella e non ci si limiti più semplicemente a creare un danno di tipo economico all’avversario, ma un vero danno “infrastrutturale” a risorse critiche.
Da tempo il comparto finance, ed oggi sempre di più anche quelli relativi a energy, utility, che vedono dei processi di digitalizzazione il prossimo step evolutivo, devono avere il tema della cybersecurity in cima alla lista delle preoccupazioni, consapevoli che gli attacchi “strategici” continueranno a crescere (come già indicano le statistiche) e che nell’impossibilità di escluderli è necessario lavorare in modo puntuale sulla possibilità di limitare i danni.
Nel mirino ci sono le reti “decentrate” e l’edge, per questo anche i sistemi di controllo industriali catturano già, e potrebbero ancora di più in futuro, catturare l’attenzione degli hacker. Il cybercrime capitalizza sulla connettività, che consente di scalare senza sforzi l’impatto degli attacchi. Riuscire a far capitolare un servizio ritenuto dai server aziendali affidabile, come in questo caso Vsa di Kaseya, ha permesso di sfruttarne le autorizzazioni e accessi.
© RIPRODUZIONE RISERVATA
