...peggio del cloud ci sono le backdoors introdotte tramite supply chain attack. Buongiorno Damiano, grazie mille per la segnalazione, però mi pare che "il cloud" qui non centri nulla, che è anche MOLTO peggio. Certo che se poi mettessimo insieme i supply chain attack che vengono veicolati via cloud allora avremmo l'arma perfetta per la soluzione finale :-D A me pare l'ennesima dimostrazione che il problema del Trusting Trust è stato AMPIAMENTE ignorato non solo dall'industria ma anche dai governi (che speravano di poterlo usare a proprio vantaggio: complimenti!)... e un pochino anche dall'accademia neh! Damiano Verzulli <damiano@verzulli.it> writes:
Da qualche ora, sta accadendo questo:
https://www.securityinfo.it/2021/07/04/katastrophseya-oltre-mille-aziende-so...
...che ha provicato (anche) questo: https://www.bbc.co.uk/news/technology-57707530 «Swedish Coop supermarkets shut due to US ransomware cyber-attack» --8<---------------cut here---------------start------------->8--- Coop Sweden says it closed more than half of its 800 stores on Friday after point-of-sale tills and self-service checkouts stopped working. The supermarket was not itself targeted by hackers - but is one of a growing number of organisations affected by an attack on a large software supplier the company uses indirectly. --8<---------------cut here---------------end--------------->8--- Wikipedia ha già una piccola raccolta di riferimenti, che immagino saranno aggiornati man mano che ne arrivano di nuovi: https://en.wikipedia.org/wiki/Kaseya#July_2021_Ransomware_Incident
In parole povere:
- Kaseya è una software house che produce soluzioni per la gestione delle PdL. Se hai 2000 PC nella tua azienda e non sai come gestirli, potrebbe essere che le soluzioni di Kaseya ti servano;
E siccome questa cosa del non volersi occupare seriamente della propria infrastruttura IT funziona a Matrioska, ci sono pure i fornitori che basano il loro supporto su quelle robe, e i clienti gliele comperano "in outsourcing"... e alla fine chi si fa male sul serio (economicamente parlando) NON è la Kaseya di turno (com'è GIUSTO che sia). Comunque, per la cronaca il prodotto compromesso è «KASEYA VSA - Unified Remote Monitoring & Management»: https://www.kaseya.com/products/vsa/ ...per capirci è analogo (non uguale) a software per la gestione e il deployment della configurazione tipo Ansible, Terraforming, NixOps o Guix a cui oltre ad una comoda interfaccina grafica per fare clickkete-clakkete aggiunge funzioni di remote monitoring E OVVIAMENTE exploitation :-O [...]
Quello che è accaduto è che dei cattivoni hanno trovato una vulnerabilità nella comopnente "server" di Kaseya (sembra affligga sia il server "on-prem" che il servizio "cloud")
l'articolo che citi tu sopra dice --8<---------------cut here---------------start------------->8--- La vulnerabilità che ha permesso questo attacco colossale sembra riguardare solo la versione on premise di Kaseya VSA, ma anche l’infrastruttura SaaS è stata messa offline per precauzione. --8<---------------cut here---------------end--------------->8--- anche la nota ufficiale di Kaseya sostiene così: --8<---------------cut here---------------start------------->8--- we believe that this has been localized to a very small number of on-premises customers only. --8<---------------cut here---------------end--------------->8--- (https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689) anche il CISA USA parla di supply chain attack: https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-... --8<---------------cut here---------------start------------->8--- CISA is taking action to understand and address the recent supply-chain ransomware attack against Kaseya VSA and the multiple managed service providers (MSPs) that employ VSA software. CISA encourages organizations to review the Kaseya advisory and immediately follow their guidance to shutdown VSA servers. --8<---------------cut here---------------end--------------->8--- quindi /pare/ che le circa 40 aziende che hanno subito i ransomware siano utenti della verisione (in qualche caso rivenduta) on-prem e che l'attacco sia stato attuato per mezzo di un supply chain attack.
e, una volta messe le mani sul server... hanno distribuito un bel ransomware a tutte le PdL gestite da quel server.
esatto, solo che il server sul quale hanno messo le mani è proprio quello installato on-prem, non quello "on cloud" [...] su Forbes Martin Giles scrive: https://www.forbes.com/sites/martingiles/2021/07/03/ransomware-attacks-spark... «A New Wave Of Ransomware Has Been Sparked By A Cyberattack On Tech Provider Kaseya» --8<---------------cut here---------------start------------->8--- [...] The company is at the epicenter of a security crisis that combines two of the most devastating tactics being deployed by hackers today: supply chain attacks and ransomware. [...] However, some of the companies affected appear to be managed service providers, or MSPs [...] Cybersecurity firm Huntress Labs initially said it believed eight MSPs have been compromised using the VSA platform—and three it works with directly have seen at least 200 customers in total hit by ransomware. [...] On July 3 a Kaseya spokeswoman told the Wall Street Journal that more than 30 of the customers it believes have been affected were MSPs. --8<---------------cut here---------------end--------------->8--- A spanne, se per ognuno dei 30 MSPs ci sono circa 70 clienti coinvolti, le aziende vittime di ransomware sono potenzialmente attorno alle 2000 Saluti, 380° P.S.: giusto per essere chiari e non far finta di nulla, così come virus e malware sono di qualche decina di ordini di grandezza più difficili da installare tramite sistemi operativi liberi, stessa cosa vale per la possibilità di perpetrare un supply chain attack tramite software libero (e grazie a molte persone di buona volontà la cosa sta perfino migliorando drasticamente) -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.