Come sta evolvendo l’attacco ransomware a Kaseya

Il massiccio attacco ransomware Kaseya che si dice abbia colpito circa 1.000 organizzazioni, viene ora sfruttato per alimentare altre campagne di attacco. Una di queste campagne di attacco è stata notata dai ricercatori di Malwarebytes.

Le vittime sono quelle di Kaseya REvil

  • In una serie di tweet di Malwarebytes, i ricercatori hanno rivelato che una campagna di malspam sta sfruttando l’attacco ransomware Kaseya per eliminare Cobalt Strike. Ciò può consentire agli attori delle minacce di condurre ulteriori attacchi, possibilmente anche di eliminare altri malware.
  • La campagna viene eseguita tramite e-mail di phishing che contiene un allegato denominato “SecurityUpdates.exe”, nonché un collegamento che si spaccia per un aggiornamento di sicurezza per la vulnerabilità di Kaseya.
  • Per renderlo convincente, l’e-mail afferma che l’aggiornamento della sicurezza proviene da Microsoft.

Cosa sappiamo dell’attacco di Kaseya?

  • L’attacco ransomware Kaseya avvenuto il 2 luglio è uno degli attacchi ransomware distruttivi di quest’anno, dopo gli attacchi contro Colonial Pipeline e JBS Foods.
  • La banda del ransomware REvil si è infiltrata nell’azienda sfruttando una vulnerabilità zero-day ancora da correggere nei server VSA.
  • Dopo l’attacco, gli aggressori erano riusciti a rubare una quantità di dati e in seguito hanno chiesto un riscatto di 70 milioni di dollari per rilasciare una chiave di decrittazione universale.
  • Alcune delle organizzazioni colpite includono supermercati in Svezia e scuole in Nuova Zelanda. Mentre centinaia di aziende sono direttamente colpite dall’attacco alla catena di approvvigionamento al software VSA di Kaseya, almeno 36.000 aziende sono colpite indirettamente.

Un punto importante

  • Gli attori delle minacce hanno sempre mirato a un’opportunità redditizia per maturare la loro fortuna e sfruttare l’attacco ransomware Kaseya è uno di questi casi.
  • In precedenza, l’interruzione di Colonial Pipeline aveva scatenato un attacco di phishing “Help Desk” che aveva preso di mira i clienti di Microsoft 365. L’obiettivo finale della campagna era eliminare lo strumento Cobalt Strike sui sistemi delle vittime.

Conclusioni

Poiché l’attacco di Kaseya in corso continua a dare problemi alle organizzazioni, l’emergere di campagne parallele da parte di attori delle minacce, probabilmente non associati alla banda REvil, aggiungerà sicuramente più grattacapi. Fare attenzione quando si ricevono e-mail non richieste può aiutare a rimanere al sicuro da tali attacchi. Nel frattempo, Kaseya ha iniziato a lavorare per affrontare la vulnerabilità che colpisce i suoi server VSA.