Ataque a la cadena de suministro de Kaseya: lo que sabemos hasta ahora


A medida que surgen noticias sobre el ataque de ransomware de la cadena de suministro contra el software de gestión de TI de Kaseya, esto es lo que sabemos hasta ahora

Justo cuando estábamos superando el ataque a la cadena de suministro de SolarWinds, vemos que el software de gestión de TI de Kaseya, comúnmente utilizado en entornos de proveedores de servicios administrados (MSP), se ve afectado por otro en una serie de ataques a la cadena de suministro. Al igual que con el incidente de SolarWinds, este último ataque utiliza un proceso de entrega de malware de dos pasos que se desliza por la puerta trasera de los entornos tecnológicos. A diferencia de SolarWinds, los ciberdelincuentes detrás de este ataque aparentemente tenían una ganancia monetaria en lugar de un ciberespionaje en la mira, y finalmente plantaron ransomware mientras explotaban la relación de confianza entre Kaseya y sus clientes.

Los investigadores de seguridad de ESET están monitoreando este ransomware, que se atribuye ampliamente a la banda REvil cuyo malware los productos de seguridad de ESET detectan como Sodinokibi. Nuestro análisis preliminar respalda esta atribución.

Figura 1. Víctimas por país

Figura 1. Víctimas por país

ESET agregó la detección de esta variante del ransomware como troyano Win32 / Filecoder.Sodinokibi.N el 1 de julioS t a las 3:22 PM (EDT; UTC-04: 00). Esta detección incluye tanto el cuerpo principal del ransomware como las DLL que descarga. La telemetría de ESET muestra que la mayoría de los informes provienen del Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos y Colombia.

Kaseya, por su parte, se apresuró a clasificar el incidente y envió notificaciones a los potencialmente afectados con el consejo de cerrar los servidores VSA locales potencialmente afectados de inmediato.

Ese consejo no podría llegar demasiado pronto. Una vez que el servidor está infestado, el malware cierra el acceso administrativo y comienza a cifrar los datos, el precursor del ciclo completo de ataque de ransomware. Una vez que se completa el proceso de cifrado, el fondo de escritorio del sistema se configura con una imagen similar a la que se ve en la Figura 2, y la nota de rescate a la que se refiere se parece a la Figura 3, en caso de que una víctima la busque y la abra.

Figura 2. El fondo de pantalla del sistema se cambia a una imagen como esta

Figura 2. El fondo de pantalla del sistema se cambia a una imagen como esta. (La segunda imagen está recortada para una mejor legibilidad).

La primera parte del nombre de archivo "Léame" es aleatoria.

Figura 3. La nota de rescate

Figura 3. La nota de rescate (hemos ajustado el texto para facilitar la lectura)

Por uno informe, cientos de organizaciones ahora tienen datos encriptados dentro de sus organizaciones y están luchando para contener y notificar a los equipos de TI para que actúen con rapidez.

Figura 4. La página a la que se redirige a las víctimas

Figura 4. La página a la que se redirige a las víctimas

Si bien los proveedores como ESET detectan este malware, ha habido un desfase entre el momento en que los servidores afectados se vieron afectados por los ataques y el momento en que los equipos de soporte y el software pudieron responder, lo que provocó que las primeras infestaciones tuvieran tiempo de hacer su daño.

Hay varios lugares donde se difunde la próxima información, incluida la industria de la seguridad que se moviliza, en tiempo real, para ayudar a los clientes de cualquier forma posible.

Si tiene servidores que pueden verse afectados, es fundamental mantenerse al día con las noticias a medida que surgen y apagar las máquinas potencialmente vulnerables, o al menos aislarlas de la red hasta que haya más información disponible. Kaseya también publica actualizaciones periódicas sobre su sitio web.

Indicadores de compromiso (IoC)

Los siguientes archivos están asociados con el ransomware Win32 / Filecoder.Sodinokibi.N:

Nombre del archivo Hash SHA-256 Nombre de detección de ESET
agent.exe D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E Win32 / Filecoder.Sodinokibi.N
mpsvc.dll E2A24AB94F865CAEACDF2C3AD015F31F23008AC6DB8312C2CBFB32E4A5466EA2 Win32 / Filecoder.Sodinokibi.N
mpsvc.dll 8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD Win32 / Filecoder.Sodinokibi.N



Enlace a la noticia original