L’attacco ransomware contro Kaseya ha scatenato il caos nel mondo dell’informatica, poiché ha colpito una delle aziende IT più note e i suoi numerosi clienti.

Nonostante il tentativo del CEO di minimizzarne l’entità, le conseguenze sono state gravi, coinvolgendo fornitori di servizi gestiti (MSP), piccole imprese e altre organizzazioni.

ransomware kaseya

In questo articolo, esploreremo i punti salienti del Kaseya ransomware e le sue implicazioni sulla sicurezza informatica delle aziende.

Analizzeremo le lezioni che possiamo apprendere da questo attacco e le strategie che le aziende possono adottare per prevenire futuri attacchi informatici.

Attraverso un’analisi delle conseguenze, saremo in grado di trarre spunti interessanti per proteggere meglio la nostra presenza online.

  1. Kaseya, che cos’è e quali servizi offre?
  2. Kaseya breach, cos’è successo?
  3. Le specifiche dell’attacco
  4. Chi sono i veri responsabili dell’attacco ransomware contro Kaseya
  5. Come prevenire gli attacchi alla supply chain di MSP e service provider

Kaseya, che cos’è e quali servizi offre?

Kaseya è un’azienda con sede a Dublino e Miami che fornisce soluzioni IT in dieci Paesi diversi.

La sua gamma di prodotti e servizi include:

  • Kaseya VSA (Virtual System Administrator), uno strumento di gestione remota e monitoraggio, supporto e automazione di reti ed endpoint
  • Kaseya BMS (Business Management Solution) per la gestione delle operazioni aziendali
  • Kaseya Traverse per il monitoraggio delle infrastrutture
  • Kaseya AuthAnvil per la gestione delle identità e degli accessi

E’ una realtà hi-tech che si rivolge principalmente ad aziende e fornitori di servizi gestiti MSP (Managed Service Provider), consentendo ai suoi oltre 40.000 clienti di:

  • aumentare l’efficienza operativa
  • automatizzare i processi
  • offrire servizi di supporto IT ai loro clienti in modo più efficace

Kaseya breach, cos’è successo?

Il 2 luglio 2021, Kaseya è stata vittima di uno dei più grandi attacchi informatici mai registrati, noto come Kaseya Breach.

A essere colpite sono state oltre 50 MSP e tra le 800 e le 1500 aziende in tutto il mondo. Tuttavia, anche se il dato rappresenta solo lo 0,001% della base clienti totale di Kaseya, l’elevato numero di vittime ben dimostra il notevole impatto dell’attacco ransomware.

L’attacco informatico si è avvalso di una vulnerabilità zero-day all’interno del software di gestione della rete remota Kaseya VSA, ampiamente utilizzato dai fornitori di servizi gestiti per monitorare e gestire le reti dei loro clienti.

I criminali informatici hanno sfruttato questa vulnerabilità per diffondere il ransomware REvil, crittografando i dati dei clienti degli MSP e chiedendo un riscatto per renderli accessibili.

Ma, poiché gli MSP servono a loro volta molte aziende, un attacco a un fornitore di servizi gestiti può avere ripercussioni a livello esponenziale.

Il che significa che l’attacco a Kaseya ha avuto effetti non soltanto sui clienti diretti, ma anche sui clienti dei propri clienti.

Le specifiche dell’attacco

In realtà gli attacchi a software e servizi MSP non sono poi così rari. La loro ampia diffusione, infatti, li rende nascondigli ideali per malware e backdoor.

Nello specifico, questo il Kaseya Breach è stato causato da un hotfix dannoso rilasciato e inviato dai server Kaseya VSA, che ha compromesso e crittografato migliaia di nodi.

In sostanza, i criminali informatici hanno rilasciato un falso aggiornamento che conteneva un ransomware noto come Sodinokibi, distribuito dal gruppo REvil.

Gli aggressori hanno sfruttato una vulnerabilità zero-day identificata come CVE-2021-30116 dall’Istituto olandese per la divulgazione delle vulnerabilità (DIVD).

L’obiettivo era ottenere una sessione autenticata attraverso un bypass di autenticazione nell’interfaccia web del server Kaseya VSA.

Una volta ottenuta l’accesso, gli aggressori hanno caricato il payload e utilizzato una SQL injection per distribuire gli aggiornamenti dannosi.

Il tutto è avvenuto mentre i tecnici di Kaseya stavano convalidando la patch per risolvere la falla.

Tuttavia, gli hacker sono arrivati in anticipo, causando. come abbiamo già sottolineato, uno dei più grandi attacchi ransomware alla supply chain mai registrati.

L’attacco ha causato gravi danni a numerose aziende,

  • compromettendo i loro sistemi informatici
  • interrompendo le loro operazioni produttive e commerciali

Chi sono i veri responsabili dell’attacco ransomware contro Kaseya?

L’attacco ransomware che ha colpito la piattaforma Kaseya VSA ha causato gravi danni a molte aziende. Tuttavia, è importante valutare le responsabilità delle parti coinvolte in questo incidente.

In primo luogo, il gruppo di hacker REvil è sicuramente il responsabile diretto. Sono stati loro a utilizzare l’exploit zero-day per accedere ai server vulnerabili di Kaseya e distribuire il ransomware ai clienti della piattaforma.

Tuttavia, ci sono anche domande riguardo alle responsabilità di Kaseya. Molti hanno criticato la società per non aver risolto tempestivamente la falla di sicurezza che ha permesso agli aggressori di accedere alla piattaforma.

Inoltre, alcuni esperti hanno sottolineato che Kaseya avrebbe potuto fare di più per prevenire l’attacco, ad esempio limitando l’accesso dei clienti ai propri sistemi.

Infine, ci sono anche le mancanze dei clienti di Kaseya, ovvero le aziende MSP che hanno utilizzato la piattaforma per gestire i propri sistemi informatici e quelle dei propri utenti.

Il fatto di essersi dimostrate vulnerabili, infatti, è segnale che non erano stati adottati adeguati protocolli di sicurezza, come l’uso di password robuste e la crittografia dei dati.

Inoltre, alcuni clienti di Kaseya potrebbero non aver installato tempestivamente gli aggiornamenti di sicurezza, lasciano i propri sistemi esposti all’exploit.

Come prevenire gli attacchi alla supply chain di MSP e service provider

Per prevenire gli attacchi alle MSP come quello accaduto a Kaseya , è importante adottare una serie di misure preventive.

Ecco alcuni suggerimenti per migliorare la sicurezza dei Managed Service Provider, e, in generale, di tutta la catena di approvvigionamento di un’azienda:

  1. Aggiornamenti regolari del software: mantenere tutti i software, inclusi i sistemi operativi, le applicazioni e gli strumenti di sicurezza, aggiornati con le ultime patch e correzioni di sicurezza. Questo aiuta a coprire le vulnerabilità note e ridurre il rischio di sfruttamento da parte degli aggressori
  2. Sicurezza del codice: assicurarsi che i software e le applicazioni utilizzati siano sviluppati secondo i principi della security by design. Questo include l’uso di controlli di validazione dei dati, la protezione delle credenziali sensibili e la gestione sicura delle sessioni
  3. Monitoraggio continuo: implementare sistemi di monitoraggio e rilevamento delle minacce per identificare comportamenti anomali o attività sospette sulla rete e nei sistemi. Il monitoraggio continuo consente di rilevare tempestivamente gli attacchi e adottare misure correttive
  4. Backup e ripristino dei dati: eseguire regolarmente backup dei dati critici e, in caso di un attacco, disporre di procedure e piani di ripristino dei dati per ripristinare rapidamente le informazioni necessarie
  5. Test di penetrazione: Eseguire regolarmente test di penetrazione per identificare le vulnerabilità dei sistemi e apportare le necessarie correzioni prima che gli aggressori ne approfittino
  6. Politiche di sicurezza robuste: Implementare politiche di sicurezza solide che includano la gestione delle password, l’accesso ai dati sensibili, le autorizzazioni degli utenti e le procedure di risposta agli incidenti.

Trattandosi di servizi di Terze Parti e supply chain è doveroso puntualizzare di collaborare soltanto con partner affidabili, che mettano in atto misure di sicurezza solide e si dimostrino proattivi nel risolvere eventuali vulnerabilità dei propri servizi.

Articoli che potrebbero interessarti: