Il gruppo hacker REvil ha chiesto 70 milioni di dollari in Bitcoin in cambio della chiave di decrittazione utilizzata per impedire a più di 200 aziende di accedere a file e informazioni. L’ultima campagna di ransomware del gruppo ha colpito il 2 luglio quando un fornitore di soluzioni di gestione IT chiamato Kaseya ha affermato che stava indagando su un attacco al suo software remoto VSA. La società ha stimato che 40 dei suoi clienti sono stati colpiti, ma molte di queste aziende avevano clienti propri.

Una società di sicurezza chiamata Huntress Labs inizialmente stimava che almeno 200 aziende fossero state colpite dalla campagna ransomware. Al momento in cui scriviamo, la società ha aumentato tale stima affermando che potrebbero essere più di 1.000 le organizzazioni interessate in tutto il mondo. Il che rende questa una delle più grandi campagne di ransomware fino ad oggi.

BleepingComputer ha riferito che REvil afferma che la sua campagna ha interessato più di 1 milione di dispositivi. Le buone notizie? Il gruppo ha anche affermato che tutti quei dispositivi “saranno in grado di riprendersi da un attacco in meno di un’ora” perché i loro file sono stati crittografati utilizzando la stessa chiave. La cattiva notizia è che vogliono 70 milioni di dollari per quella chiave.

Si tratta di un riscatto da record, battendo i 50 milioni di dollari che, sempre REvil, aveva precedentemente richiesto ad Acer. Il gruppo aveva anche richiesto 50 milioni di dollari in aprile a Quanta Computer in cambio di file rubati relativi ai prossimi prodotti Apple, ma ha misteriosamente abbandonato la richiesta un giorno prima del pagamento.

Il presidente Joe Biden ha dichiarato durante il fine settimana del Giorno dell’Indipendenza di aver ordinato un’indagine su questa campagna di ransomware per determinare se il governo russo fosse coinvolto. Kaseya ha affermato di essere in contatto con l’FBI, la Cybersecurity and Infrastructure Security Agency e altre agenzie federali.

Il gruppo REvil è stato in grado di eseguire questo massiccio attacco sfruttando una vulnerabilità zero-day nel server VSA di Kaseya, che era stata segnalata privatamente ed era in procinto di essere risolta. La patch per risolvere la vulnerabilità, infatti, era in fase di convalida: la fase prima del suo rilascio ufficiale ai clienti. Tuttavia, sembra che anche gli affiliati di REvil fossero a conoscenza della vulnerabilità e l’abbiano sfruttata prima che Kaseya potesse inviare la correzione ai clienti.