Venerdì scorso (2/7/2021) il ransomware REvil ha colpito diversi provider di servizi di management (MSP). Il gruppo che diffonde REvil, dichiara di aver infettato più di un milione di sistemi. Fra le vittime del gruppo possiamo citare: Coop, che ha chiuso più di 500 punti vendita a causa dell’attacco, Sol Orient, un’industria coinvolta nel commercio di armi nucleari e JBS (già nota per aver pagato un riscatto di 11 milioni di dollari. il più grande produttore di carni al mondo, ma queste sono solo 3 delle migliaia di aziende colpite.

Il gruppo oggi torna a farsi sentire proponendo la soluzione a tutti i problemi creati dal malware, un decrypter universale in grado di rendere di nuovo disponibili tutti i file crittati, beh, ovviamente dietro il pagamento della modica cifra di 44.999$ per i file con una determinata estensione, cifra che può raggiungere i 500 mila dollari per sbloccare ogni tipo di file, per un totale che ammonterebbe a 70 milioni di dollari.

L’attacco è stato portato a termine sfruttando una vulnerabilità presente in Kaseya (CVE-2021-30116 al momento della scrittura non ci sono dettagli riguardo alla vulnerabilità) un provider di servizi MSP che sviluppa software per la gestione delle reti e dei sistemi.

Revil si diffonde attraverso gli aggiornamenti automatici

“Stiamo investigando sulla causa dell’attacco, nel frattempo vi raccomandiamo di spegnere immediatamente i vostri server VSA” è quello che si legge sul sito di Kaseya che proprio in queste ore continua a rilasciare dichiarazioni con l’intento di riportare online il datacenter per le 8:00 di domani mattina ora locale.

Il ransomware si diffonde attraverso il file agent.crt che viene scaricato durante un aggiornamento di tipo hotfix (cioè una patch rapida di piccole dimensioni solitamente atta a risolvere un particolare problema); questo include una DLL  che viene sostituita ad una lecita, nella cartella C:\Windows, qui possiamo vedere Antonio Capobianco che fa una cosa simile.

Esiste un’alternativa all’alimentare questo mercato?

Certo! Ricordiamoci che chi paga corre il rischio di essere colpito di nuovo, così alcune associazioni una delle più note è sicuramente nomoreransom.org fondata dagli sforzi congiunti de: la polizia nazionale per i crimini alta tecnologia olandese, l’Europol, Kaspersky e McAfee. Hanno deciso di raccogliere i vari decrypter disponibili per cercare di tamponare la situazione.

Quelli di noi più avventurosi, mossi dal desiderio di giustizia, avranno piacere a frequentare il corso Corso Dynamic Malware Analyst per conoscere più a fondo i segreti dei malware e tentare di porre un freno a tutto questo insieme a noi di CybersecurityUP!

Tweet