Kaseya data breach: 70M $ per il decrittatore universale, intanto REvil tratta privatamente con alcune vittime

Kaseya data breach: 70M $ per il decrittatore universale, intanto REvil tratta privatamente con alcune vittime 1
VSA di Kaseya è un software di monitoraggio e di gestione remota utilizzato dalle aziende per gestire le proprie infrastrutture IT. Lo scorso 2 luglio il gruppo ransomware REvil ha utilizzato il VSA (Virtual System Administrator) come vettore per iniettare codice infetto all’interno dei sistemi informatici di almeno un migliaio di clienti finali della multinazionale con sede a Miami.

Non si conosce al momento il numero esatto delle vittime, ma fra queste risulterebbero la catena di supermercati svedese Coop, le Ferrovie dello Stato svedesi, la norvegese Visma che opera nel campo del software aziendale – sviluppo e consulenza nel settore IT, l’americana Dataprise che fornisce tecnologie informatiche e servizi di integrazione di sistemi a piccole e medie imprese principalmente nel Medio Atlantico degli Stati Uniti.

REvil ha pubblicato, all’interno del proprio blog nelle reti Tor, una nota dove afferma che oltre 1 milione di sistemi IT aziendali sono interessati dall’attacco informatico. La nota del gruppo ransomware continua indicando il prezzo per il decryptor universale, fissando la cifra a 70 milioni di $ in BTC.

Kaseya data breach: 70M $ per il decrittatore universale, intanto REvil tratta privatamente con alcune vittime 2

Il 2 luglio la Huntress Labs, azienda americana nel campo della sicurezza informatica, è stata in grado di registrare e analizzare le prime fasi dell’infezione ai server Kaseya VSA. Huntress Labs sostiene che REvil sia riuscito a sfruttare una vulnerabilità SQL injection utilizzando un bypass di autenticazione per ottenere l’accesso ai server VSA.

Mentre analisti informatici di tutto il mondo mettono le proprie competenze a disposizione della comunità, REvil nelle ultime ore sta cercando di portare a termine i propri affari direttamente con alcune delle proprie vittime.

E’ il caso di una società che opera nel campo della tecnologia informatica la quale ha concordato con REvil il prezzo del riscatto per ottenere un decryptor in grado di decrittare l’intera rete IT.

SuspectFile.com non rivelerà il nome di questa società colpita dal “Kaseya data breach”, ma si limiterà a fornire solo alcuni dettagli della chat utili a comprendere quali siano i meccanismi che si intrecciano durante tutte le fasi di una conversazione tra una vittima e il proprio aggressore.

Dai dati raccolti sembrerebbe che la persona che ha materialmente scritto i messaggi nella chat non sia un negoziatore, ma piuttosto un dipendente della società supportato dal proprio reparto IT.

La chat si apre con il primo messaggio della vittima che chiede a REvil come stia procedendo la decrittazione dei propri file. Il gruppo ransomware risponde che non c’è stata nessuna decrittazione in quanto o non è stato pagato il riscatto, o perché la vittima si è collegata utilizzando due note diverse del riscatto, quindi a due chat differenti.

La vittima segnala a REvil che la finestra della prima chat gli si era chiusa e chiede se stia chattando con la stessa persona con cui stava chattando inizialmente, aggiungendo che la stampa era a conoscenza che l’attacco informatico aveva interessato anche la loro società. REvil risponde di riaprire la prima chat, sottolineando che nella chat in cui stava scrivendo in quel momento nessuno aveva pagato per il decrittatore. Nessun commento sul fatto che il nome della società fosse diventato di dominio pubblico.

Vittima: Hi , How Is our decryption going ?

REvil: Which one of? You did not pay for the decryptor, or you changed the chat chat

V: The chat window closed. Was it you I was speaking to earlier ?

V: The press has picked up on our infection and you said they would not hear about it

R: So open it again, in this chat no one paid for the decryptor

La vittima aggiunge

V: We are working with our internal team to see if Kaseya cyber security insuarnce will cover this. This is the reason I think the press found we were victim

A questo punto REvil chiede il nome della sua società

R:Name of your company ?
V: [Redacted] , I thought you know this ? I must have been talking to somebody else
Fra i due inizia la contrattazione sul prezzo del riscatto da pagare. Da notare che il prezzo fissato inizialmente da REvil era pari a 44.999 $, prezzo che si riferiva evidentemente a una sola delle estensione dei file crittati, per decrittare invece l’intera rete IT, era stata chiesta la cifra di 550.000 $. Nel corso della contrattazione il prezzo era stato poi fissato a 225.000 $ in BTC.
R: 550k for all network
V: This is too much what is this based upon ?
R: About revenue, damage caused and income of the company

V: You don’t have access to our revenue or income. We have struggled through covid. It is more than we earn this year.

This is why we are hoping Kaseya insurance will cover us, but would have to wait until they would pay.
R: We made you our offer and whether to pay or not is only your business.
La vittima chiede a REvil la conferma di ottenere, a pagamento ultimato, entrambe le chiavi di decrittazione a fronte delle due diverse note del riscatto e la promessa di non essere nuovamente vittima dei loro attacchi. REvil dà conferma fornendo anche gli indirizzi BTC sui quali inviare il denaro.
V: My IT team have requested that they get the decryption key and have concerns that as we have 2 different notes that we will need 2 different keys. Can you confirm this ?
R: Of course wi will provide decryptor for all your keys
V: We have been unable to patch our Kaseya deployment and need to get some key systems working. Can you confirm that you will not reattack us.
R: Of course
V: We can send $75k today and will send $150k over next 2 days. Please supply the btc addresses

R: 3Md[Redacted]

3FE[Redacted]

3My[Redacted]

Mentre scriviamo, su nessuno dei tre indirizzi BTC sono stati depositati o prelevati fondi.
Nota: SuspectFile.com non ha riportato tutta la chat, alcuni dei dettagli che avrebbero potuto ricondurre al nome della vittima sono stati omessi o per nulla inseriti.
Un punto su cui è d’obbligo soffermarsi è quello relativo alla certezza nel riavere i propri dati una volta pagato il riscatto. La certezza non c’è.
Possiamo affermare invece che molto spesso, anche dopo il pagamento dell’intero riscatto, la vittima non è più riuscita a rientrare in possesso dei propri dati. Pagare un riscatto non equivale alla certezza assoluta di riottenere la propria struttura informatica nelle condizioni precedenti un attacco informatico.

 

Altro punto fondamentale cui vale la pena soffermarsi è la tutela del proprio nome, della propria privacy.
In questo articolo abbiamo potuto dimostrare che nessun gruppo di cyber-criminali tutela la privacy delle proprie vittime. All’interno delle chat spesso abbiamo letto frasi del criminale di turno che tendevano a rassicurare la vittima:

 

“Se paghi il tuo nome non verrà mai pubblicato, la tua privacy sarà garantita. Tutti i tuoi dati verranno cancellati”
Possiamo assicurarvi che a distanza di mesi e di avvenuti pagamenti, all’interno di decine e decine di chat ancora adesso raggiungibili, esistono dati e documenti che possono far risalire, senza alcuna difficoltà, al nome della vittima.
Un’altra considerazione, forse quella più preoccupante.
Dopo la crittazione di un sistema IT, il cyber-criminale rilascia sui pc della vittima alcuni file chiamati anche “note di riscatto”. All’interno di questi file troviamo un URL .onion e una key che permettono alle vittime di poter accedere alle chat.
Originariamente questi file sono nelle mani di soli due soggetti: il cybercriminale e la vittima e da nessun’altro.
Allora porsi una domanda diventa naturale.
Come fanno questi file a finire all’interno di siti specializzati in analisi dei file come Bazaar, Triage, Virustotal…? Chi esegue materialmente gli upload?
Non possiamo credere possa essere l’azienda vittima, ad esempio un dipendente del proprio reparto IT. Così come non possiamo credere che dietro a questi upload si possa “nascondere” un negoziatore o un membro delle forze di polizia.
Quindi chi potrebbe essere il soggetto che da tutto questo può trarne benefici in fatto di visibilità?

 

SuspectFile.com crede, da sempre, che i sample vengano caricati dagli stessi criminali informatici, direttamente o indirettamente.
Ultima considerazione sul caso Kaseya.
Fa sorridere, un “riso amaro” per la verità, come Kaseya elogia se stessa. Sul proprio sito, fra l’altro, si legge
Kaseya data breach: 70M $ per il decrittatore universale, intanto REvil tratta privatamente con alcune vittime 3
Un cliente dovrebbe sentirsi al sicuro leggendo tali affermazioni. Invece in queste ultime ore sono ancora alle prese con sistemi IT crittati e inutilizzabili.
Le aziende colpite da questo attacco informatico si sentono vittime per due volte, la prima per mano di un gruppo di cyber-criminali e la seconda per colpa oggettiva di Kaseya che con tali affermazioni ha promesso più di quanto poteva realmente mantenere.

 

 

L’articolo è stato aggiornato alle ore 13:00 del 06/07/2021

2 thoughts on “Kaseya data breach: 70M $ per il decrittatore universale, intanto REvil tratta privatamente con alcune vittime

Comments are closed.