L'attacco a Kaseya e le sue conseguenze

La notizia ha scosso profondamente il mondo dell'informatica su più livelli. La software house americana Kaseya ha subìto un attacco ransomware come non se ne vedevano da tempo, di portata tale da propagare i propri effetti in tutto il mondo. Cos'è successo nello specifico? Vediamolo insieme.

Chi è Kaseya e cos'è successo

Kaseya è una software house che rifornisce gli MSP, ovvero i managed service provider. Le aziende di questo tipo si occupano di dare servizi ai propri clienti a 360 gradi, accentrando su di sé tutte le esigenze di telecomunicazione.  Si tratta di soggetti che possono fornire assistenza tecnica, software, hardware, backup, sicurezza sia in ambito informatico che telefonico. Le MSP offrono il vantaggio di una gestione completa del cliente a fronte di un canone unico e con la comodità di rivolgersi a un unico interlocutore. L'azienda americana nello specifico si occupa di monitoraggio delle reti e ha rapporti con tutti i maggiori MSP statunitensi. Venerdì 2 luglio un attacco ransomware ha colpito la piattaforma VSA Kaseya, che distribuisce e gestisce un software gestionale per infrastrutture IT. Il worm si è travestito da falso aggiornamento automatico, per aggirare le protezioni dei firewall. Attraverso VSA si è propagato inizialmente in circa una quarantina di sistemi di aziende MSP e attraverso queste a loro volta si è duplicato verso i clienti di queste MSP. In pochi minuti l'attacco ha assunto una dimensione tale da essere stato definito "il più grande della storia" o "il peggiore dai tempi di WannaCry" (un famosissimo virus che fece gran danni nel 2017).

Come è potuto succedere

La (grossa) dimensione del problema è data proprio da questo: ad essere colpito è stato il primo anello della supply chain, ovvero la catena di distribuzione il cui ultimo anello è il cliente finale. Risalendo la catena così in alto è stato possibile raggiungere in un sol colpo i clienti, i clienti dei clienti e così via fino all'incredibile numero di 40mila macchine infettate in pochi minuti.  Avendo sferrato l'attacco durante il weekend del 4 luglio (festa nazionale in America), le conseguenze si sono amplificate dal momento che tantissimi si sono accorti di essere nei guai solo il lunedì successivo, a danno ormai fatto. Come è potuto accadere? In pratica, il ransomware è riuscito a sfruttare una vulnerabilità del software cosiddetta zero day. Le vulnerabilità zero day sono quelle problematiche (bug, errori di scrittura, aggiornamenti falliti, eccetera) che una volta scoperte devono essere fixate in tempo zero, altrimenti l'impatto sarebbe molto grave. In genere non riescono ad uscire dalla stanza degli sviluppatori perché la correzione avviene in tempi realmente brevi. Se però ci si distrae o il tempo occorrente per il fix è più lungo, il bug diventa una porta aperta ai malintenzionati. La causa dell'attacco a Kaseya sembra ricadere nella seconda categoria: il problema era noto, ma non era ancora stata trovata una soluzione. Secondo il comunicato ufficiale, la backdoor che ha fatto entrare il virus era una zero day che è stata bucata da un virus in vendita nel dark web dal 2019.

Le conseguenze (anche politiche) dell'attacco a Kaseya

L'azione è stata rivendicata dal gruppo hacker REvil (nel suo curriculum ha anche attacchi verso Apple) che ha anche reso nota una richiesta di 70 milioni di dollari in bitcoin per rilasciare una chiave di decrittazione "universale" che sbloccherebbe tutti i dati di tutti i pc infettati. Gli effetti del down di Kaseya si sono fatti sentire in tutto il mondo: la catena di supermercati svedese Coop ha dovuto chiudere a causa delle casse completamente bloccate. La prima vittima italiana nota è l'azienda di moda Miroglio (la "testa" dei marchi Motivi, Elena Mirò, Oltre, Fiorella Rubino e tanti altri). Kaseya parla di poche aziende di piccole dimensioni colpite, ma le evidenze già lo smentiscono. Le conseguenze però sono anche politiche. A quanto parrebbe, REvil ha base in Russia e la conferma di questo si trova nel fatto che il ransomware è stato programmato per aggredire solo le macchine parlanti inglese. Tutta quella parte del mondo che comunica in cirillico, quindi, è immune. Questo non ha mancato di causare tensioni con il presidente americano Joe Biden che ha incaricato l'FBI di investigare sulla questione, non escludendo di voler chiamare in causa il suo omologo Vladimir Putin (qui un approfondimento del Daily Mail, in inglese).

Come difendersi

In attesa che Kaseya rilasci una patch ufficiale da installare manualmente, il CSIRT (l'organo della Presidenza del Consiglio che si occupa di sicurezza informatica) ha diramato questi punti per tentare di contenere i danni causati da REvil:

• implementare l'autenticazione multifattore su tutti gli account gestiti;
• proteggere l'accesso alle infrastrutture RMM (Remote Management and Monitoring) attraverso l'implementazione di connessioni VPN o specificando i soli indirizzi IP autorizzati (whitelist);
• verificare di essere in possesso di backup aggiornati e funzionanti, avendo cura di conservarli fisicamente e/o logicamente disconnessi dalla rete IT aziendale;
• procedere alla gestione manuale del ciclo di patching delle proprie infrastrutture fino alla risoluzione della problematica;
• implementare il modello least-privilege su tutti gli account utilizzati all’interno dell’organizzazione
• valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.

Come potete notare, non basta a volte trovarsi dall'altra parte dell'Oceano per sentirsi al sicuro. Le buone pratiche di sicurezza informatica non conoscono confini! Vi viene il dubbio che REvil sia passato anche da voi? Contattateci! Per approfondire: comunicato ufficiale Kaseya ; comunicato CSIRT