hacker attacchi cybercriminali - mondo informatico

Attacco Ransomware a Kaseya

di

Un nuovo e devastante attacco informatico ha colpito il mondo digitale. Questa volta la vittima è Kaseya, un importante fornitore americano di software per la gestione IT, finita al centro di un attacco ransomware su scala globale che ha già paralizzato centinaia di aziende.

Secondo le prime stime, l’attacco ha coinvolto oltre 200 società e circa 40.000 computer, ma gli esperti non escludono che il numero reale possa essere molto più alto. L’incidente, avvenuto durante il weekend del 4 luglio 2021, è stato descritto dagli analisti come uno dei più gravi attacchi alla supply chain degli ultimi anni.

Attacco Ransomware a Kaseya: 200 Aziende Colpite e Milioni di Computer a Rischio

Cos’è successo a Kaseya

Tutto è iniziato da un’infezione del software VSA, la piattaforma che Kaseya utilizza per gestire da remoto i sistemi informatici dei propri clienti. Attraverso una vulnerabilità, i criminali informatici hanno sfruttato un aggiornamento del software per diffondere il ransomware in modo automatico, colpendo non solo i clienti diretti dell’azienda ma anche quelli dei loro fornitori di servizi IT.

In pratica, l’attacco si è propagato “a cascata”, lungo tutta la filiera della fornitura digitale, bloccando intere reti aziendali. Un classico esempio di attacco supply chain, cioè un’infezione che parte da un anello della catena e si estende rapidamente a tutti i soggetti collegati.

Le prime conseguenze: Coop Sweden chiude 500 negozi

La gravità dell’attacco si è capita subito. Una delle prime vittime è stata la catena di supermercati svedese Coop, che ha dovuto chiudere circa 500 filiali in via precauzionale dopo che i propri sistemi di cassa sono stati compromessi.

Nel frattempo, Kaseya ha raccomandato a tutti i suoi clienti di spegnere immediatamente i server VSA per evitare ulteriori infezioni, mentre le principali autorità di sicurezza informatica nel mondo hanno iniziato a monitorare la situazione da vicino.

Il coinvolgimento della Casa Bianca

L’attacco è stato così esteso da attirare l’attenzione diretta del presidente degli Stati Uniti. Joe Biden, informato dell’incidente mentre si trovava in volo, ha ordinato verifiche immediate per assicurarsi che non ci fossero implicazioni per infrastrutture critiche o agenzie federali.

Anche la CISA (Cybersecurity and Infrastructure Security Agency) americana ha diffuso un avviso ufficiale, invitando tutte le organizzazioni che utilizzano Kaseya a interrompere temporaneamente le operazioni.

Gli autori dell’attacco: il gruppo REvil

Secondo le indagini preliminari, dietro l’attacco c’è il gruppo REvil (noto anche come Sodinokibi), una gang di hacker di lingua russa già responsabile di diversi attacchi di alto profilo negli ultimi anni.

REvil è tristemente famosa per aver colpito JBS Foods (il colosso mondiale della carne), Qanta Computer (fornitore di Apple) e l’operatore telefonico MasMovil Group, estorcendo milioni di dollari in riscatti.

Nel caso di Kaseya, il gruppo ha chiesto un riscatto record di 70 milioni di dollari in Bitcoin per fornire un decryptor universale, ossia la chiave per sbloccare tutti i sistemi infettati.
Nel loro messaggio pubblicato nel dark web, gli hacker hanno affermato di aver cifrato oltre un milione di computer in tutto il mondo, un dato che, se confermato, renderebbe questo uno degli attacchi ransomware più gravi della storia.

Le conseguenze in Italia

L’Italia non è rimasta indenne. Secondo quanto emerso da diverse fonti di sicurezza informatica, anche alcune aziende italiane risultano coinvolte nell’attacco. Nell’elenco dei soggetti che utilizzano il software compromesso figurano società che offrono servizi gestionali, sistemi per il commercio, la telefonia e il settore energetico.

Tra queste, anche fornitori di servizi digitali per università, enti di ricerca, e aziende che gestiscono posta certificata e identità digitali.

Una delle prime organizzazioni italiane ad aver individuato l’anomalia è stata lo Human Technopole di Milano, il centro di ricerca dedicato alle scienze della vita, che ha bloccato tempestivamente i propri sistemi per evitare conseguenze più gravi.

Perché questo attacco è così pericoloso

Gli esperti spiegano che la portata dell’attacco a Kaseya deriva dal suo carattere “a catena”. Colpendo un solo fornitore centrale, i criminali hanno avuto accesso a migliaia di aziende collegate indirettamente, sfruttando la fiducia e la condivisione di sistemi tipica della gestione IT in cloud.

Questo tipo di minaccia è particolarmente difficile da contenere perché si propaga automaticamente, come un virus digitale che si replica da un sistema all’altro senza bisogno di intervento umano.
Il paragone con WannaCry, il famigerato ransomware del 2017 che paralizzò ospedali e aziende in tutto il mondo, è inevitabile.

Le raccomandazioni di sicurezza

In risposta all’incidente, Kaseya ha fornito alcune linee guida per mitigare il rischio di compromissione:

  • Spegnere immediatamente i server VSA locali;

  • Non installare aggiornamenti finché non vengono rilasciate patch ufficiali;

  • Verificare i backup e assicurarsi che siano conservati offline;

  • Attivare l’autenticazione a due fattori (MFA) per tutti gli account amministrativi;

  • Limitare gli accessi remoti alle sole connessioni provenienti da indirizzi IP autorizzati;

  • Monitorare i sistemi per individuare eventuali indicatori di compromissione (IoC).

Nel frattempo, la società ha messo a disposizione un tool di rilevamento gratuito per aiutare i clienti a capire se i propri server siano stati infettati.

Un campanello d’allarme globale

L’attacco a Kaseya rappresenta un campanello d’allarme per l’intera economia digitale mondiale. Dimostra quanto siano vulnerabili anche le infrastrutture più sofisticate quando si basano su catene di fornitura interconnesse.

Le autorità americane hanno definito l’incidente “una minaccia nazionale”, e molti esperti di cybersecurity sostengono che sia arrivato il momento di ripensare completamente le strategie di difesa informatica, soprattutto per le aziende che gestiscono dati sensibili di terze parti.

Attacco Ransomware a Kaseya: 200 Aziende Colpite e Milioni di Computer a Rischio

Il ransomware rimane oggi la più grande minaccia informatica al mondo. L’attacco a Kaseya ne è l’ennesima prova: un singolo punto di vulnerabilità può generare danni enormi a livello globale, coinvolgendo migliaia di imprese e milioni di utenti.

L’unica arma davvero efficace è la prevenzione: mantenere i sistemi aggiornati, implementare procedure di sicurezza multilivello e adottare un approccio proattivo alla protezione dei dati.
Perché, come dimostra il caso Kaseya, nel mondo digitale anche un piccolo errore può diventare il grilletto di una catastrofe.