REvil Supply Chain Ransomware Attack colpisce 200 aziende statunitensi
Il gruppo di criminali informatici noto come REvil e famigerato per le sue attività di ransomware ha eseguito un altro attacco di successo su scala inquietante alla fine della scorsa settimana.
I ricercatori di sicurezza di Huntress Labs hanno dichiarato di ritenere che l'attacco che ha colpito almeno duecento aziende statunitensi sia opera della banda cibernetica REvil. Questa volta gli hacker non hanno lavorato per infiltrarsi individualmente nella rete di ciascuna azienda.
Invece, hanno portato a termine quello che viene comunemente chiamato "attacco alla catena di approvvigionamento". REvil ha abusato di una società di fornitori di software legittima chiamata Kaseya. Kaseya offre prodotti e servizi per la gestione della rete e l'infrastruttura IT a un gran numero di clienti, dalle aziende medie alle grandi aziende.
Ovviamente, Kaseya ha rilasciato una dichiarazione ufficiale e un avvertimento per i proprietari di server di spegnere tutti i server che eseguono il pacchetto software che REvil ha usato come intermediario per eseguire l'attacco. La società ha anche chiuso la propria piattaforma software-as-a-service in risposta all'attività REvil.
Mentre Kaseya inizialmente intendeva riportare online il suo SaaS entro la mattina presto del 7 luglio, ma The Register ha riferito oggi che il processo è stato ritardato di "almeno dieci ore".
La banda del ransomware REvil ha chiesto un incredibile riscatto di 70 milioni di dollari. La richiesta può sembrare ridicola, dato che JBS, il più grande fornitore di carne d'America, è stato colpito da REvil circa un mese fa e in quell'attacco la richiesta di riscatto è stata di 11 milioni di dollari. Il problema è che utilizzando un attacco alla catena di approvvigionamento in questo nuovo incidente, REvil ha colpito centinaia di aziende, non solo negli Stati Uniti ma in tutto il mondo.
Non solo le reti aziendali interne, ma anche scuole e supermercati sono state lasciate in sospeso. Reuters ha riferito che come garanzia dello stesso attacco, la catena di supermercati svedese Coop è stata costretta a chiudere le porte di 800 dei suoi negozi, poiché i registratori di cassa collegati a Internet semplicemente non funzionavano.
Yahoo News ha citato l'esperto di sicurezza Brett Callow che ha affermato che mentre ci sono stati attacchi ransomware che hanno impiegato metodi di attacco simili alla catena di approvvigionamento, sono stati tutti "abbastanza minori" rispetto alla portata dell'ultimo lavoro REvil.
Anche la tempistica dell'attacco sembra essere stata premeditata, poiché ha coinciso con le vacanze del fine settimana del 4 luglio negli Stati Uniti, rendendo la risposta rapida alla minaccia più difficile del solito.
