Probabilmente il più vasto ransomware di sempre

Probabilmente il più vasto ransomware di sempre

Luglio 08, 2021 - 16:45

Una filiale della Coop in Svezia, fotografata da un nostro lettore

Si tratta con tutta probabilità del più vasto attacco informatico di tipo ransomware (ovvero che blocca i dispositivi chiedendo un riscatto per sbloccarli) mai condotto. A quasi una settimana dall’attacco, mentre ancora i problemi non sono rientrati, colpevole e vittime sono ormai noti. A condurre l’attacco (e lo ha rivendicato) è stato REvil (Ransomware Evil, noto anche come Sodinokibi), gruppo di hacker che si ritiene operi dalla Russia (alcuni suggeriscono con il benestare delle autorità), mentre ad essere colpita è stata la soprattutto la softwarehouse statunitense Kaseya, che gestisce reti e sistemi, e molti suoi clienti, diretti e indiretti. Kaseya distribuisce infatti il software VSA, utilizzato a sua volta da clienti diretti che gestiscono reti e servizi informatici di altre aziende. Proprio sfruttando una vulnerabilità all’interno di questo software REvil sarebbe riuscita a bloccare i sistemi di migliaia di aziende nel mondo. Secondo quanto comunicato dalla stessa Kaseya sono 60 i clienti diretti colpiti dall’attacco, che a loro volta utilizzavano il software prodotto dall’azienda statunitense per gestire le reti dei loro clienti. In totale il numero di aziende colpite si porterebbe a circa 1500 aziende in tutto il mondo. “Delle circa 800.000 a 1.000.000 locali e piccole imprese gestite dai clienti di Kaseya, solo circa 800-1.500 sono state compromesse”, ha detto l’azienda in una nota. Uno dei casi più importanti di blocco in seguito all’attacco è quello della Coop svedese: il fornitore del servizio informatico della catena di supermercati è fra coloro che sono stati colpiti dal ransomware e circa 500 supermercati della catena hanno dovuto chiudere i battenti. In Nuova Zelanda sono stati colpiti 11 scuole e diversi asili nido.

Kaseya ha comunicato che tutti i server VSA locali fino a nuove istruzioni e si dovrà aggiornare il software con una patch per poter riattivare in sicurezza i sistemi.

Per quanto riguarda la gang di cybercriminali, tramite un annuncio sul dark web hanno chiesto un riscatto di 70 milioni di dollari, in bitcoin, in cambio della pubblicazione della chiave di decrittazione universale che permetterebbe di sbloccare i sistemi bloccati. Secondo la stessa REvil il ransomware non avrebbe preso di mira solo la Kaseya e avrebbe colpito in totale un milione di sistemi operativi, anche se questi numeri non sono confermati. I cybercriminali starebbero anche provando a negoziare con le singole aziende somme più contenute per sbloccare i loro sistemi.