Recentemente Kaseya - un provider di software per MSP e team IT facente base negli Stati Uniti - ha denunciato un attacco supply chain di dimensioni mondiali iniziato il giorno 2 Luglio: una data non casuale quella scelta dagli attaccanti (è il giorno in cui negli Stati Uniti è festeggiato il giorno dell'Indipendenza) per ridurre il rischio di individuazione dell'attacco e la velocità di risposta. Il gruppo di attaccanti ha sfruttato una vulnerabilità 0-day del software Kaseya VSA per distribuire il ransomware REvil ai client. L'attacco si è propagando quindi verso circa 60 MSP e, di conseguenza, ai loro clienti usando la tecnica dell'attacco Supply Chain. 

A questo punto gli attaccanti hanno richiesto un elevatissimo riscatto per decriptare i file colpiti, minacciando ovviamente la divulgazione dei dati e delle informazioni rubate qualora le vittime non avessero proceduto al pagamento. 

REvil / Sodinokibi / Sodin è una filiazione del ransomware GandCrab ed è collegato al gruppo di attaccanti Gold Southfield: questo gruppo è noto perché è stato tra i primi a rubare i dati delle vittime prima di avviarne il processo di criptazione, minacciando la diffusione di tali dati in caso di mancato pagamento del riscatto. In alcuni casi il gruppo ha richiesto addirittura un doppio riscatto, uno per la decriptazione dei file e uno per garantire la cancellazione di quelli rubati. 

Attivo a partire dall'Aprile 2019 (poco dopo la sospensione delle attività di GandCrab), REvil / Sodinokibi è responsabile di circa il 40% del totale delle infezioni ransomware nel mondo. Inizialmente il gruppo colpita quasi esclusivamente in Asia e nella regione Europea, adesso ha una diffusione mondiale. 

Quando REvil / Sodinokibi è emerso per la prima volta, sfruttava vulnerabilità nei server, nel protocollo SMB, negli installer di alcuni software ecc.. adesso sembra essersi specializzato negli attacchi Supply Chain. 

Tornando a Kaseya, gli attaccanti hanno lanciato l'attacco contro i MSP sfruttando la vulnerabilità 0-day CVE-2021-30116 che affligge i server VSA on-premise. Una volta infiltrati i server VSA, qualsiasi client collegato eseguirà qualsiasi comando del server VSA senza ulteriori richieste né verifiche. Disabilitare l'accesso amministrativo al server VSA una volta ottenuto l'accesso alla rete della vittima è il passaggio successivo. 

Nel corso delle analisi sono stati segnalati i seguenti indirizzi IP, usati per avviare l'attacco usando l'user agent  curl/7.69.1.. Ecco gli indirizzi IP collegati all'attacco:

L'ammontare del riscatto chiesto dal gruppo spazia tra i 50.000 e i 5 milioni di dollari, secondo che il sistema fosse o meno connesso ad un dominio. Sono stati richiesti invece 70 milioni di dollari per il tool di decriptazione universale. 

Lo schema complessivo di attacco è visibile sotto

Sotto è visualizzabile la nota di riscatto. Questa viene copiata in ogni cartella contenente file criptati e contiene le indicazioni per il pagamento del riscatto.

Attualmente questo ransomware non è risolvibile senza pagare il riscatto agli attaccanti, dato che il decryptor universale non è ancora disponibile.

Kaseya ha rilasciato la patch l'11 Luglio ed è anche riuscita a riportare online l'infrastruttura VSA SaaS. La patch è scaricabile qui. L'azienda ha anche pubblicato un tool per la verifica del rischio di exploit sui server VSA e per la scansione degli endpoint: questo tool è disponibile qui.

Seqrite consiglia alle aziende di essere sempre vigili e attenti, soprattutto rispetto al rischio dei ransomware, e di essere preparati a gestire tali eventi con piani di risposta e team formati. Tra le maniere di prevenire / limitare proattivamente questi attacchi troviamo:

Le soluzioni Quick Heal e Seqrite dispongono di tool proattivi per bloccare il payload del ransomware in questa ondata di attacchi. Quick Heal individua questo ransomware con i seguenti nomi: 

• Trojanransom.Gen
• Trojanransom.Sodin
• Ransom.Revil
• Trojanransom.Encoder
• Trojan.Agent

Qui è disponibile il report completo dei Quick Heal Security Labs