Un commento di Lavi Lazarovitz, Sr. Director of Cyber Research, CyberArk Labs sull’attacco hacker che ha colpito Kaseya
“I modelli di attacco nella compromissione della soluzione Kaseya VSA ricordano la campagna Cloud Hopper, un attacco di phishing portato a un endpoint che ha avuto successivamente ripercussioni su centinaia di aziende che avevano rapporti con i cloud provider violati. Nel caso specifico di una vittima, il ciclo di attacchi è durato almeno cinque anni.
Se questo attacco ha qualche somiglianza con l’esempio precedente, è bene sottolineare che gli attaccanti cercano di capitalizzare sulla decentralizzazione della rete e sulla connettività. Perché? Perché significa scalare… e avere un impatto maggiore. Ancora più importante, nell’incidente di Kaseya, i cybercriminali si stanno concentrando sulla compromissione di software, processi e relazioni basati sulla fiducia. Prendere di mira servizi fidati consente agli hacker di sfruttare le autorizzazioni e gli accessi che vengono concessi.
Nelle prime comunicazioni di Kaseya, l’azienda avverte della criticità di spegnere i server su cui viene eseguito VSA, “perché una delle prime azioni compiute dall’attaccante è vietare l’accesso amministrativo a VSA.” Il monitoraggio e la protezione di questo accesso privilegiato è fondamentale per identificare e mitigare il rischio di movimenti laterali e ulteriori compromissioni della rete. Nel caso di un MSP, avere il controllo dei diritti admin potrebbe permettere agli attaccanti di scalare velocemente – probabilmente su centinaia di clienti dello stesso MSP. Le credenziali privilegiate continuano ad essere l’arma preferita dei cybercriminali e vengono utilizzate in quasi tutti i principali attacchi mirati”.