A partire dal pomeriggio del 2 luglio 2021, la banda del ransomware REvil, alias Sodinokibi, ha preso di mira gli MSP con migliaia di clienti, attraverso quello che sembra essere un attacco alla catena di fornitura dai servizi erogati da Kaseya VSA.
In questi giorni, otto grandi MSP noti sono stati colpiti come parte di questo attacco alla supply-chain.
Kaseya VSA è una piattaforma MSP basata su cloud che consente ai provider di eseguire la gestione delle patch e il monitoraggio dei client per i propri clienti.
John Hammond di Huntress Labs ha dichiarato che tutti gli MSP interessati utilizzano Kaseya VSA e che hanno la prova che anche i dati dei loro clienti vengono crittografati.
“Stiamo monitorando 20 MSP in cui Kaseya VSA è stato utilizzato per crittografare oltre 1.000 aziende e stiamo lavorando in stretta collaborazione con sei di loro”, ha condiviso Hammond in un post sul blog sull’attacco.
Kaseya ha emesso un avviso di sicurezza sul sito dell’help desk, avvertendo tutti i clienti VSA di spegnere immediatamente il proprio server VSA per impedire la diffusione dell’attacco durante le indagini.[/vc_column_text][vc_zigzag][quote]”Stiamo vivendo un potenziale attacco contro VSA che è stato limitato a un piccolo numero di clienti on-premise solo a partire dalle 2:00 PM EDT oggi. Siamo indagando sulla causa principale dell’incidente con la massima cautela, ma consigliamo ai nostri clienti di spegnere immediatamente il server VSA fino a quando non riceverete un ulteriore segnalazione da parte del nostro team. È fondamentale venga fatto immediatamente, perché una delle prime cose che l’utente malintenzionato è quello di prendere il controllo amministrativo di VSA. “[/quote][vc_zigzag][vc_column_text]In una dichiarazione, Kaseya ha dichiarato di aver chiuso i loro server SaaS e stanno lavorando con altre imprese di sicurezza per indagare sull’incidente.
La maggior parte degli attacchi di ransomware su larga scala sono stati condotti in tarda notte durante il fine settimana quando c’è meno personale per monitorare la rete.
Poiché questo attacco è avvenuto a mezzogiorno di venerdì, gli attori della minaccia probabilmente hanno pianificato in tempo per far coincidere l’attacco con il 4 luglio negli Stati Uniti, giorno di festa nazionale, cosa che porta ad avere un ridotto numero di persone di presidio nelle infrastrutture IT.
Revil si diffonde attraverso l’aggiornamento automatico
Ai ricercatori è stato riferito dalla Huntress ‘John Hammond e Sophos’ Mark Loman che gli attacchi su MSP sembrano essere un attacco a catena di approvvigionamento attraverso Kaseya VSA.
Secondo Hammond, Kaseya VSA vedrà un file Agent.crt nella cartella C: \ Kworking, che viene distribuito come aggiornamento chiamato “Kaseya VSA Agent Hot-Fix”.
Un comando PowerShell viene quindi avviato il quale prima disabilita le varie funzioni di sicurezza di Microsoft Defender, come il monitoraggio in tempo reale, l’accesso alla cartella controllata, la scansione dello script e la protezione della rete.
Modifica quindi il file Agent.crt utilizzando il comando legittimo Windows Certutil.exe per estrarre un file Agent.exe nella stessa cartella, il quale una volta avviato comincerà il processo di crittografia.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/powershell-command.png” alt=”ransomware revil powershell command”][vc_column_text]Agent.exe è firmato utilizzando un certificato di “Pb03 Transport Ltd” e include un “msmpng.exe” incorporato e ‘mpsvc.dll’ e ‘mpsvc.dll,’ con la DLL è il criptor Revil. Se estratto, vengono inseriti “msmpng.exe” e ‘mpsvc.dll’ nella cartella C: \ Windows.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/signed-executable.png” width=”500″ alt=”File Agent.exe firmato.”][vc_column_text]Msmpeng.exe è una versione precedente del legittimo eseguibile Microsoft Defender utilizzato come lolbin per avviare la DLL e crittografare il dispositivo attraverso un eseguibile attendibile.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/reverse.png”][vc_column_text]Alcuni dei campioni analizzati aggiungono chiavi e configurazioni di Registry.
Ad esempio, un campione [VirustoTal] installato da nostri ricercatori aggiunge la chiave HKLM \ Software \ wow6432node \ Blacklives Matter per memorizzare le informazioni di configurazione dall’attacco.
Intel’s Vitali Kremez ha detto che un altro esempio configura il dispositivo per avviare Revil Safe Mode con la password predefinita “Dtrump4ever”.[/vc_column_text][vc_empty_space height=”20px”][vc_column_text]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "AutoAdminLogon"="1" "DefaultUserName"="[account_name]" "DefaultPassword"="DTrump4ever"[/vc_column_text][vc_empty_space height=”20px”][vc_column_text]Il CEO di Kaseya Fred Voccola ha detto che una vulnerabilità in Kaseya VSA è stata utilizzata durante l’attacco e che una patch sarà rilasciata non appena possibile.[/vc_column_text][vc_zigzag][quote]”Mentre la nostra indagine è in corso, fino ad oggi, crediamo che:
I nostri clienti SaaS non siano mai stati a rischio. Ci aspettiamo di ripristinare il servizio a quei clienti una volta confermato che non sono a rischio, il che ci pensiamo sarà entro le prossime 24 ore;
Solo una percentuale molto piccola dei nostri clienti è stata colpita – attualmente stimata in meno di 40 in tutto il mondo.
Crediamo che abbiamo identificato la fonte della vulnerabilità e stiamo preparando una patch per i nostri clienti locali che verranno testati accuratamente. Rilasciamo quella patch il più rapidamente possibile per ripristinare in sicurezza i nostri clienti. “- Kaseya.[/quote][vc_zigzag][vc_column_text]
Ransomware REvil Gang richiede un riscatto da $ 5 milioni
Un campione di Revil Ransomware utilizzato in uno di questi attacchi è stato condiviso con dei ricercatori. Tuttavia, è sconosciuto se questo è il campione utilizzato per ogni vittima o se ogni MSP ha ricevuto la propria richiesta di riscatto.
La banda di ransomware richiede un riscatto da $ 5.000.000 per ricevere un decifratore da uno dei campioni.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/revil-ransom-demand.png” width=”700″ alt=”File Agent.exe firmato.”][vc_column_text]Secondo il CTO di Emsisoft, Fabian Wosar, i clienti MSP che sono stati colpiti dall’attacco hanno ricevuto una richiesta di riscatto molto più piccola, pari a $ 44,999.
Mentre il revil è noto per rubare i dati prima di distribuire i dispositivi di ransomware e crittografia, è sconosciuto se gli attaccanti hanno esflitrato alcun file.
I MSP sono un obiettivo di alto valore per le bande di ransomware in quanto offrono un canale facile per infettare molte aziende attraverso una singola violazione, tuttavia gli attacchi richiedono una conoscenza approfondita degli MSP e il software che usano.
Revil ha un affiliato esperto nella tecnologia utilizzata da MSPS in quanto ha una lunga storia di attacchi verso queste aziende e il software comunemente usato da loro.
Nel giugno 2019, un Affiliato Revil ha attaccato un MSPS tramite Desktop remoto e ha quindi utilizzato il loro software di gestione per forzare l’installazione di ransomware su tutti gli endpoint in loro gestione.
Si ritiene che questo affiliato abbia precedentemente lavorato con Gandcrab, che ha anche condotto con successo attacchi contro MSP nel gennaio 2019.
Questa è una storia in via di sviluppo e continuerà a essere aggiornata.[/vc_column_text]
FILA HASH CONOSCIUTI PER QUESTO RANSOMWARE
FILE | HASH | TYPE |
---|---|---|
agent.crt | 2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643 | SHA 256 |
agent.exe | d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e | SHA 256 |
mpsvc.dll | d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e | SHA 256 |
empsvc.dlL | 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd | SHA 256 |
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!