Supply Chain Compromise: l’attacco cyber a Kaseya ha compromesso più di 1500 aziende

Un attacco di Supply Chain Compromise di rilevanza storica per il settore della Cybersecurity è avvenuto nei confronti dell’azienda americana Kaseya. Cifrati i dati delle aziende clienti e dei rispettivi membri delle supply chain.
blank

Kaseya, società americana di sviluppo software per la gestione di endpoint, reti ed infrastrutture informatiche, pochi giorni fa è stata vittima di un cyber attack che ha compromesso VSA, un programma Kaseya per il monitoraggio remoto che è utilizzato da migliaia di clienti in tutto il mondo.

Si stima che siano circa 40.000 le aziende che oggi utilizzano almeno una delle soluzioni Kaseya.

Alle 2pm EDT del 2 luglio scorso il CEO di Kaseya, Fred Voccola, ha annunciato un potenziale attacco contro VSA limitato ad un ristretto numero di clienti on premise, raccomandando comunque a tutti gli utenti di spegnere immediatamente i server VSA in quanto la prima azione degli attaccanti sarebbe stata quella di disabilitare l’accesso amministrativo allo stesso VSA.

In base alle analisi effettuate, circa 50 MSP (Managed Service Provider) tra Stati Uniti, Australia, Europa e Sud America sono stati vittime dell’attacco.

La compromissione del server VSA on premise degli MSP è stata la modalità tramite la quale il gruppo di cybercriminali REvil è riuscito ad avere accesso alle reti degli utenti finali e cioè delle circa 1500 aziende clienti.

Queste organizzazioni hanno subito la cifratura dei propri dati.

Ricapitolando quanto accaduto:

  1. REvil compromette il software VSA on premise di Kaseya
  2. il software è utilizzato da numerosi MSP, clienti di Kaseya, che vedono compromessi i propri server VSA
  3. i clienti degli MSP che utilizzano VSA per il monitoraggio dell’infrastruttura subiscono la cifratura dei propri dati, in quanto gli attaccanti sono in grado di sfruttare il software compromesso

Huntress afferma che tutti i VSA on premise siano stati violati tramite un exploit arbitrary file upload e una vulnerability code injection; pare essere chiaro che per avere accesso ai server sia stato utilizzato un authentication bypass.

L’FBI ha descritto l’attacco come un “supply chain ransomware attack” nei confronti degli MSP e dei loro clienti che ha sfruttato una vulnerabilità nel software Kaseya VSA.

Alcune delle funzionalità di VSA, infatti, permettono il deployment di software e l’automatizzazione dei task con elevati privilegi sui device degli utenti. Kaseya raccomanda inoltre di aggiungere specifiche esclusioni per il corretto funzionamento del software ed il malware ha sfruttato alcune di queste cartelle durante il deployment.

Avendo compromesso VSA, i cyber criminali sono stati in grado di effettuare qualsiasi operazione sugli elaboratori delle vittime.

Il ransomware è stato distribuito in maniera automatizzata tramite un fake update. Gli attaccanti hanno bloccato immediatamente ogni possibilità di accesso amministrativo a VSA e hanno aggiunto un task chiamato “Kaseya VSA Agent Hot-fix”.

Questo fake update era in verità REvil ransomware.

Da sottolineare come la vulnerabilità utilizzata per l’attacco, catalogata come CVE-2021- 30116, era già stata resa nota a Kaseya ad aprile 2021. L’attacco che l’ha sfruttata è avvenuto solamente tre mesi dopo.

Questo evento mostra ancora una volta le difficoltà con cui si devono confrontare i produttori di tool per l’amministrazione remota dei sistemi. Scrivere codice sicuro è sempre più complicato e la sfida diviene più complessa man mano che il software cresce.

Appare sempre più chiaro come la sicurezza di una organizzazione dipenda anche daquanto sia sicura la propria supply chain. Nessuna azienda può prescindere dal verificare quali siano le precauzioni prese dai propri fornitori.

Gli step chiave includono:

  • formare i propri dipendenti e i membri della supply chain
  • identificare quali dati vengano condivisi e come tali vengano trattati dagli anelli della catena di approvvigionamento
  • condurre un cyber security assessment prima di approvare un qualsiasi fornitore, con standard minimi definiti da rispettare
  • verificare la capacità di risposta dei fornitori agli incidenti
  • lavorare sempre come se un breach fosse già avvenuto e condurre security assessment a scadenze ben definite
  • integrare i dati e gli eventi in strumenti come SIEM e SOAR

Tra i vendor con cui Aditinet collabora per mettere in sicurezza la supply chain dei clienti vi è Proofpoint.

La soluzione di Proofpoint Nexus Supplier Risk Explorer, parte integrante dell’offerta Email Fraud Defense, mira a proteggere le aziende partendo dal veicolo più comune tramite il quale le frodi vengono perpetrate, e cioè le email.

Il prodotto è in grado di categorizzare il livello di rischio delle email ricevute da fornitori ed i domini che gli stessi utilizzano per l’invio e di garantire la visibilità necessaria per la sicurezza delle comunicazioni aziendali, andando a colmare il gap tra tecnologia e consapevolezza degli utenti, oggi target preferito per i cybercriminali.

Essere bersaglio del cyber crime è come essere colpiti da un uragano, accade indipendentemente dalla nostra volontà ed è qualcosa di inevitabile. Una corretta preparazione può però essere la discriminante tra la sopravvivenza e la morte dell’azienda in seguito ad un attacco di Supply Chain Compromise.

Gestire correttamente la propria catena di approvvigionamento, permettendo ai collaboratori di sviluppare la consapevolezza di quali siano le minacce, può ridurre al minimo le conseguenze di eventi che, prima o poi, chiunque accadranno.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email
Share on print

Articoli correlati

blank
La Supply Chain può essere un fattore di rischio in un contesto Kubernetes che si appoggia su OpenSource. Il pericolo per le applicazioni ed i dati costituito dai Ransomware è sempre più concreto ed occorre predisporre una linea di difesa basata anche sulla possibilità di ricreare gli ambienti partendo da Backup immutabili.

Non sei ancora iscritto alla nostra newsletter?

Torna su