Beginning around mid-day (EDT/US) on Friday July 2, 2021, Kaseya’s Incident Response team learned of a potential security incident involving our VSA software.

Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.

Se ogni provider cliente di Kaseya ha 500 clienti (aziende) e che ogni azienda ha cinque server e 100 pc monitorati con VSA, significa che REvil colpendo un solo obiettivo ha a disposizione circa 100.000 server e 2 milioni di PC infettati da ransomware

Tra le prime conseguenze, una delle più grandi catene alimentari svedesi, Coop, ha temporaneamente chiuso quasi tutti i suoi quasi 800 negozi perché è stata catturata dall’attacco.

Il software utilizzato per crittografare i computer delle vittime sembra simile al tipo normalmente utilizzato da REvil.

Le vittime della violazione sono state colpite attraverso un aggiornamento del software Kaseya, secondo quanto analizzato da Kevin Beaumont, un ricercatore di minacce. Invece di ricevere l’ultimo aggiornamento di Kaseya, hanno ricevuto il ransomware di REvil. Una tecnica usata anche nel caso Solarwinds.

La portata di un attacco come quello subito da Kaseya può essere enorme perché assume il comportamento di un “worm”, così come WannaCry alcuni anni fa”, spiega il noto consulente forense Paolo dal Checco a Cybersecurity360.it. “L’infezione si diffonde in modo automatico, capillare, raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza che sia necessario intervento umano né da parte degli attaccanti né delle vittime.

Qui il link per tenere traccia della gestione dell’incidente da parte di Kaseya.

Update Regarding VSA Security Incident

Reference: Cybersecurity360

Articolo precedenteApple releases fixes for three WebKit zero-days, additional patches for a fourth
Founder of Smeretech.com. Sys Admin and IT Manager