Appliance VSA di Kaseya Compromessi da Ransomware
07/05/2021
Proto: N020721.
Con la presente, CERT-Yoroi desidera informarla relativamenta al grave attacco ransmware ai danni di Kaseya, azienda produttrice del noto software VSA per la gestione delle infrastrutture IT aziendali.
L’attacco è avvenuto 2 Luglio ed affiliati del gruppo REvil (TH-200) hanno forzato un aggiornamento malevolo nel ciclo di rilascio degli appliance VSA. L’aggiornamento malevolo rilasciato è volto ad infettare gli appliance VSA e lanciare codice di attacco ransomware attraverso l’appliance on-premise, le versioni SaaS risultano al momento fuori dal perimetro della compromissione.
Il Vendor a confermato la situazione di emergenza con la nota informativa del 3 Luglio, invitando a spegnere le istanze on-premises di VSA Server in uso, in quanto sarà possibile riaccendere solamente dopo l’applicazione delle patch che verranno pubblicate. Kaseya ha inoltre reso disponibile uno strumento ad hoc per verificare lo stato di compromissione del proprio VSA Server e delle workstation Microsoft.
Considerato l’evolversi della situazione, CERT-Yoroi consiglia caldamente di mantenere offline i sistemi VSA Server on premise in via precauzionale, di valutare la possibilità di isolare temporaneamente segmenti di rete, fornitori o clienti che utilizzano il sistema VSA di Kaseya, di utilizzare lo strumento di Kaseya per verificare – e far verificare ai vostri fornitori o clienti - lo stato di compromissione delle istanze VSA on-premise in uso, di effettuare il reset delle credenziali di dominio utilizzate da VSA Server. Qualora emergano elementi sospetti o anomalie, CERT-Yoroi consiglia caldamente di ingaggiare e richiedere supporto specialistico per appurare lo stato di compromissione delle infrastrutture potenzialmente afflitte.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
