È probabilmente uno degli attacchi Ransomware più devastanti di sempre, con almeno 60 vendor e 1.500 clienti impattati. Ma cosa si cela dietro il caso Kaseya? L’azienda americana, che sviluppa software per la gestione di reti, sistemi e infrastrutture informatiche, come oramai è noto, è stata il tramite involontario per la diffusione a valle della propria filiera di un’infezione Ransomware. In dodici mesi, quindi, dopo il caso SolarWinds e Microsoft Exchange ci troviamo davanti all’ennesimo attacco ad una Supply Chain.

Kaseya, colpevoli e Ricadute

A rivendicare l’attacco, uno dei più grandi e più attivi gruppi dedicati al Ransomware: REvil. Questi, tramite l’utilizzo di una vulnerabilità non nota a Kaseya né ad alcun security researcher – in gergo detta Zero Day – sono riusciti a distribuire uno script tramite il software della società americana. Questo si è occupato di scaricare il Ransomware sulle macchine bersaglio.

Per il momento, come detto in apertura, sappiamo che quasi 60 Managed Service Provider e oltre 1.500 imprese loro clienti in tutto il mondo sono state paralizzate dall’attacco ransomware. La maggior parte sono state piccole imprese, come studi dentistici, studi di architettura, centri di chirurgia plastica e biblioteche, ma anche grandi realtà (come la Coop Svedese che si è vista bloccare per due giorni i sistemi di pagamento).

REvil, dal canto suo, ha immediatamente chiesto 70 milioni di dollari in Bitcoin per rilasciare uno strumento di decrittazione per ripristinare tutti i dati delle imprese colpite, anche se hanno rapidamente abbassato il prezzo richiesto a 59 milioni di dollari.

Un problema più ampio

Secondo Pierguido Iezzi, CEO di Swascan, se attacchi come Kaseya fanno sicuramente “scena”; in particolare vedendo immagini come quelle di supermercati chiusi al pubblico per un weekend e completamente paralizzati, il problema di fondo che insorge all’intensificarsi di questi attacchi è come la Digital Supply Chain moderna sia sempre più un bersaglio “ghiotto”. “Questo perché tutte le infrastrutture digitali di aziende ed enti pubblici stanno crescendo di complessità a ritmi vertiginosi. E allo stesso tempo aumenta la quantità di strumenti necessari per gestire queste interconnessioni e al contempo tenerle al sicuro”, ha spiegato.

Per questo è diventato imprescindibile per tutti, spiega Iezzi, avere sotto controllo lo status completo del livello di sicurezza di tutta la catena di fornitura attraverso indicatori di vulnerabilità e rischio. “Fino a poco tempo fa, i Cyber attacchi indiretti attraverso terze parti – compresa quindi tutta la supply chain – cadevano spesso nel dimenticatoio. Un errore troppo comune che purtroppo può costare caro. Basti vedere gli ultimi casi come Kaseya e SolarWinds”.

Secondo Iezzi, non c’è alcuna differenza in termini di danni economici, di brand reputation e di business continuity quando l’attacco avviene “frontalmente” o “dai lati”. Non dobbiamo mai dimenticare che nessuna tecnologia esiste “da sola”, quasi tutte le organizzazioni, come accennato operano in un ecosistema connesso che include, per esempio, i fornitori. “Se una qualsiasi di queste aziende viene attaccata, automaticamente tutte le altre parti lungo la catena di fornitura sono a rischio. Anche la più piccola vulnerabilità potrebbe tradursi in danni ingenti. Gli strumenti e le best practice ci sono, ora dobbiamo semplicemente impegnarci affinché tutta la nostra Supply Chain sia ugualmente protetta”.