cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

28 luglio 2021
Il ritorno di REvil: uno sguardo più a fondo all'attacco ransomware contro Kaseya


Recentemente Kaseya - un provider di software per MSP e team IT facente base negli Stati Uniti - ha denunciato un attacco supply chain di dimensioni mondiali iniziato il giorno 2 Luglio: una data non casuale quella scelta dagli attaccanti (è il giorno in cui negli Stati Uniti è festeggiato il giorno dell'Indipendenza) per ridurre il rischio di individuazione dell'attacco e la velocità di risposta. Il gruppo di attaccanti ha sfruttato una vulnerabilità 0-day del software Kaseya VSA per distribuire il ransomware REvil ai client. L'attacco si è propagando quindi verso circa 60 MSP e, di conseguenza, ai loro clienti usando la tecnica dell'attacco Supply Chain. 

A questo punto gli attaccanti hanno richiesto un elevatissimo riscatto per decriptare i file colpiti, minacciando ovviamente la divulgazione dei dati e delle informazioni rubate qualora le vittime non avessero proceduto al pagamento. 

Che cosa è REvil/ Sodinokibi?
REvil / Sodinokibi / Sodin è una filiazione del ransomware GandCrab ed è collegato al gruppo di attaccanti Gold Southfield: questo gruppo è noto perché è stato tra i primi a rubare i dati delle vittime prima di avviarne il processo di criptazione, minacciando la diffusione di tali dati in caso di mancato pagamento del riscatto. In alcuni casi il gruppo ha richiesto addirittura un doppio riscatto, uno per la decriptazione dei file e uno per garantire la cancellazione di quelli rubati. 

Attivo a partire dall'Aprile 2019 (poco dopo la sospensione delle attività di GandCrab), REvil / Sodinokibi è responsabile di circa il 40% del totale delle infezioni ransomware nel mondo. Inizialmente il gruppo colpita quasi esclusivamente in Asia e nella regione Europea, adesso ha una diffusione mondiale. 

Quando REvil / Sodinokibi è emerso per la prima volta, sfruttava vulnerabilità nei server, nel protocollo SMB, negli installer di alcuni software ecc.. adesso sembra essersi specializzato negli attacchi Supply Chain. 

Come funziona la catena di attacco? 
Tornando a Kaseya, gli attaccanti hanno lanciato l'attacco contro i MSP sfruttando la vulnerabilità 0-day CVE-2021-30116 che affligge i server VSA on-premise. Una volta infiltrati i server VSA, qualsiasi client collegato eseguirà qualsiasi comando del server VSA senza ulteriori richieste né verifiche. Disabilitare l'accesso amministrativo al server VSA una volta ottenuto l'accesso alla rete della vittima è il passaggio successivo. 

Nel corso delle analisi sono stati segnalati i seguenti indirizzi IP, usati per avviare l'attacco usando l'user agent  curl/7.69.1.. Ecco gli indirizzi IP collegati all'attacco:

  • 18[.]223.199.234
  • 161[.]35.239.148
  • 35[.]226.94.113
  • 162[.]253.124.162
L'ammontare del riscatto chiesto dal gruppo spazia tra i 50.000 e i 5 milioni di dollari, secondo che il sistema fosse o meno connesso ad un dominio. Sono stati richiesti invece 70 milioni di dollari per il tool di decriptazione universale. 

Alcuni dettagli tecnici dell'attacco 0-day contro Kaseya VSA
  1. La prima fase inizia quando il processo dannoso raggiunge gli utenti dall'MSP;
  2. il processo VSA distribuisce la criptazione come fosse un update del software, sotto il nome "Kaseya VSA Agent Hotfix", eseguendolo sul sistema con accesso di amministrazione per bypassare le misure di sicurezza;
  3. lo script che viene eseguito disabilita alcuni servizi di Microsoft Defender tra i quali il monitoraggio in tempo reale, il sistema di Intrusion Prevention System (IPS), la scansione degli script ecc...
  4. quando questo update è stato processato, distribuisce il payload di REvil: il loader dell'eseguibile dannoso si chiama agent.exe;
  5. agent.exe ha perfino una firma digitale verificata da PE03 TRANSPORT LTD: tale firma è stata applicata il giorno prima di avviare l'attacco.
Lo schema complessivo di attacco è visibile sotto


La nota di riscatto
Sotto è visualizzabile la nota di riscatto. Questa viene copiata in ogni cartella contenente file criptati e contiene le indicazioni per il pagamento del riscatto.


Attualmente questo ransomware non è risolvibile senza pagare il riscatto agli attaccanti, dato che il decryptor universale non è ancora disponibile.

Conclusioni
Kaseya ha rilasciato la patch l'11 Luglio ed è anche riuscita a riportare online l'infrastruttura VSA SaaS. La patch è scaricabile qui. L'azienda ha anche pubblicato un tool per la verifica del rischio di exploit sui server VSA e per la scansione degli endpoint: questo tool è disponibile qui.

Seqrite consiglia alle aziende di essere sempre vigili e attenti, soprattutto rispetto al rischio dei ransomware, e di essere preparati a gestire tali eventi con piani di risposta e team formati. Tra le maniere di prevenire / limitare proattivamente questi attacchi troviamo:
  • l'inclusione degli attacchi supply chain nel piano di risposta e ripristino;
  • la mappatura del panorama dei rischi; 
  • assicurarsi che i propri fornitori abbiano policy e procedure di sicurezza strutturate, valide e certificate;
  • dotarsi di backup dei dati più importanti aggiornati spesso e sistematicamente, così da mitigare gli effetti di un eventuale attacco. 
In che maniera Seqrite protegge i propri utenti?
Le soluzioni Quick Heal e Seqrite dispongono di tool proattivi per bloccare il payload del ransomware in questa ondata di attacchi. Quick Heal individua questo ransomware con i seguenti nomi: 

  • Trojanransom.Gen
  • Trojanransom.Sodin
  • Ransom.Revil
  • Trojanransom.Encoder
  • Trojan.Agent
Qui è disponibile il report completo dei Quick Heal Security Labs 

Indicatori di compromissione

Loader 
  • 0299e3c2536543885860c7b61e1efc3f
  • 5a97a50e45e64db41049fd88a75f2dd2
  • be6c46239e9c753de227bf1f3428e271
  • 835f242dde220cc76ee5544119562268
  • 18786bfac1be0ddf23ff94c029ca4d63
  • 8535397007ecb56d666b666c3592c26d
  • 561cffbaba71a6e8cc1cdceda990ead4
DLL
  • 78066A1C4E075941272A86D4A8E49471
  • 040818b1b3c9b1bf8245f5bcb4eebbbc
  • 849fb558745e4089a8232312594b21d2
  • 4a91cb0705539e1d09108c60f991ffcf
  • 7d1807850275485397ce2bb218eff159
  • a560890b8af60b9824c73be74ef24a46
  • a47cf00aedf769d60d58bfe00c0b5421


Ultime news

Per saperne di più

Cloud ibrido: la proattività è la chiave per risolvere le sfide di sicurezza

27 gennaio 2023

Il modello del cloud ibrido sta velocemente diventando l'ambiente scelto dalle aziende. La ragione è semplice: questo modello offr...

Per saperne di più

Powershell: il paradiso dei cyber attaccanti

20 gennaio 2023

di Mrigank Tyagi, Senior Security Researcher @Quick Heal TechnologiesPowerShell era stato originariamente concepito come programma...

Per saperne di più

Chiamate dall'underground: un modo alternativo di penetrare nelle reti aziendali

16 gennaio 2023

traduzione dell'articolo originale di Sathwik Ram Prakki - Security Researcher Quick Heal Security LabsGli attaccanti utilizzano m...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas