Il famigerato gruppo di cybercriminali, noto come REvil, ha portato a termine un altro attacco ransomware, dopo quelli contro Travelex, Acer e JBS. Il nuovo bersaglio è Kaseya VSA, una piattaforma cloud per la gestione dei servizi IT. Il ransomware è stato installato tramite un aggiornamento software. I team di sicurezza informatica hanno lavorato febbrilmente ieri per arginare l’impatto di quello che è già stato definito come il più grande attacco globale di ransomware.
Un affiliato della famigerata banda REvil, conosciuta per aver estorto 11 milioni di dollari dalla società di lavorazione della carne JBS dopo un attacco nel Memorial Day, ha infettato migliaia di vittime in almeno 17 paesi, in gran parte attraverso aziende che gestiscono in remoto le infrastrutture IT per più clienti.
REvil chiedeva riscatti fino a 5 milioni di dollari – hanno dichiarato i ricercatori informatici che si sono occupati dell’attacco – ma ieri ha offerto in un messaggio diffuso sul deep web una chiave software universale di decrittazione che avrebbe decodificato tutte le macchine colpite in cambio di 70 milioni di dollari in criptovaluta.
“Per quanto ne sappiamo, i sistemi di REvil coinvolgono un alto grado di automazione, le persone fisiche sono coinvolte solo se una vittima vuole negoziare il prezzo. Quindi, potrebbero non avere davvero bisogno di scalare per coprire la “coda lunga” dei riscatti di 45.000 dollari. La vittima paga a un portafoglio Bitcoin predefinito, loro rilevano il pagamento e rilasciano la chiave di decrittazione senza coinvolgere nessuno. Penso che l’offerta di un decrittatore universale sia una trovata pubblicitaria. Se davvero hanno criptato un milione di sistemi, assumendo 1.000 sistemi per vittima, si è nell’ordine di 1.000 vittime. Con una media di 45.000 dollari per vittima – era la loro tariffa standard in questo caso – si arriva a 45 milioni di dollari. Sì, alcune vittime sono state prese di mira individualmente e hanno ricevuto richieste di riscatti più alti, ma dubito che si raggiungano i 70 milioni di dollari”, commenta Kevin Reed, CISO at global cyber protection company Acronis.
“Probabilmente si tratta di un bluff per vedere se questa strategia funzionerà. Tattiche simili hanno funzionato per loro in passato. Potrebbero anche non aspettarsi di ottenere i soldi e stare solo usando questo metodo per avere maggior risonanza mediatica. In una recente intervista hanno dichiarato che il loro modo per scalare è quello di attirare più affiliati piuttosto che dedicarsi all’hacking vero e proprio, e cavalcare poi l’onda della notizia certamente li aiuta in questo obiettivo. Molto probabilmente in questo caso incasseranno una somma significativa, ma dubito che otterranno i 70 milioni di dollari richiesti, questo richiederebbe cooperazione e flessibilità che trovo improbabile da entrambe le parti” conclude Reed.