VSA di Kaseya è un software di monitoraggio e di gestione remota utilizzato dalle aziende per gestire le proprie infrastrutture IT. Lo scorso 2 luglio il gruppo ransomware REvil ha utilizzato il VSA (Virtual System Administrator) come vettore per iniettare codice infetto all’interno dei sistemi informatici di almeno un migliaio di clienti finali della multinazionale con sede a Miami.
Non si conosce al momento il numero esatto delle vittime, ma fra queste risulterebbero la catena di supermercati svedese Coop, le Ferrovie dello Stato svedesi, la norvegese Visma che opera nel campo del software aziendale – sviluppo e consulenza nel settore IT, l’americana Dataprise che fornisce tecnologie informatiche e servizi di integrazione di sistemi a piccole e medie imprese principalmente nel Medio Atlantico degli Stati Uniti.
REvil ha pubblicato, all’interno del proprio blog nelle reti Tor, una nota dove afferma che oltre 1 milione di sistemi IT aziendali sono interessati dall’attacco informatico. La nota del gruppo ransomware continua indicando il prezzo per il decryptor universale, fissando la cifra a 70 milioni di $ in BTC.
Il 2 luglio la Huntress Labs, azienda americana nel campo della sicurezza informatica, è stata in grado di registrare e analizzare le prime fasi dell’infezione ai server Kaseya VSA. Huntress Labs sostiene che REvil sia riuscito a sfruttare una vulnerabilità SQL injection utilizzando un bypass di autenticazione per ottenere l’accesso ai server VSA.
Mentre analisti informatici di tutto il mondo mettono le proprie competenze a disposizione della comunità, REvil nelle ultime ore sta cercando di portare a termine i propri affari direttamente con alcune delle proprie vittime.
E’ il caso di una società che opera nel campo della tecnologia informatica la quale ha concordato con REvil il prezzo del riscatto per ottenere un decryptor in grado di decrittare l’intera rete IT.
SuspectFile.com non rivelerà il nome di questa società colpita dal “Kaseya data breach”, ma si limiterà a fornire solo alcuni dettagli della chat utili a comprendere quali siano i meccanismi che si intrecciano durante tutte le fasi di una conversazione tra una vittima e il proprio aggressore.
Dai dati raccolti sembrerebbe che la persona che ha materialmente scritto i messaggi nella chat non sia un negoziatore, ma piuttosto un dipendente della società supportato dal proprio reparto IT.
La chat si apre con il primo messaggio della vittima che chiede a REvil come stia procedendo la decrittazione dei propri file. Il gruppo ransomware risponde che non c’è stata nessuna decrittazione in quanto o non è stato pagato il riscatto, o perché la vittima si è collegata utilizzando due note diverse del riscatto, quindi a due chat differenti.
La vittima segnala a REvil che la finestra della prima chat gli si era chiusa e chiede se stia chattando con la stessa persona con cui stava chattando inizialmente, aggiungendo che la stampa era a conoscenza che l’attacco informatico aveva interessato anche la loro società. REvil risponde di riaprire la prima chat, sottolineando che nella chat in cui stava scrivendo in quel momento nessuno aveva pagato per il decrittatore. Nessun commento sul fatto che il nome della società fosse diventato di dominio pubblico.
Vittima: Hi , How Is our decryption going ?
REvil: Which one of? You did not pay for the decryptor, or you changed the chat chat
V: The chat window closed. Was it you I was speaking to earlier ?
V: The press has picked up on our infection and you said they would not hear about it
R: So open it again, in this chat no one paid for the decryptor
La vittima aggiunge
V: We are working with our internal team to see if Kaseya cyber security insuarnce will cover this. This is the reason I think the press found we were victim
A questo punto REvil chiede il nome della sua società
V: [Redacted] , I thought you know this ? I must have been talking to somebody else
R: 550k for all networkV: This is too much what is this based upon ?R: About revenue, damage caused and income of the companyV: You don’t have access to our revenue or income. We have struggled through covid. It is more than we earn this year.
And if we cannot function then nothing can happen with moneyR: We made you our offer and whether to pay or not is only your business.
V: My IT team have requested that they get the decryption key and have concerns that as we have 2 different notes that we will need 2 different keys. Can you confirm this ?R: Of course wi will provide decryptor for all your keysV: We have been unable to patch our Kaseya deployment and need to get some key systems working. Can you confirm that you will not reattack us.R: Of courseV: We can send $75k today and will send $150k over next 2 days. Please supply the btc addressesR: 3Md[Redacted]
3FE[Redacted]
3My[Redacted]
L’articolo è stato aggiornato alle ore 13:00 del 06/07/2021
Molto interessante e di facile lettura.
Bravo.
Grazie 🙂