Lectura oscura | Seguridad | Proteja el negocio



Un ataque masivo de ransomware a la cadena de suministro dirigido a los proveedores de servicios administrados (MSP) que utilizan el Administrador de sistemas virtuales de Kaseya (VSA) ha dejado datos en más de 1.000 empresas cifrados y los atacantes exigen un rescate de 70 millones de dólares.

El ataque, que el grupo de ransomware REvil lanzó el 2 de julio, justo antes del fin de semana festivo en Estados Unidos, explotó múltiples vulnerabilidades, incluida una falla de día cero que estaba en proceso de corrección, según firmas de seguridad. REvil, un grupo de ransomware como servicio, afirma que más de un millón de sistemas fueron comprometidos y cifrados, y publicó una demanda de ransomware en su site el domingo 4 de julio, diciendo que si recibe el pago de rescate de $ 70 millones, lo hará publique públicamente el descifrador.

El ataque subraya el peligro que las debilidades en las cadenas de suministro comercial representan para las empresas, dijo Adam Meyers, vicepresidente senior de CrowdStrike Intelligence, en un comunicado enviado el 3 de julio a Dark Studying.

«No se equivoquen, el momento y el objetivo de este ataque no son una coincidencia», dijo. «Ilustra lo que definimos como un ataque de caza mayor, lanzado contra un objetivo para maximizar el impacto y las ganancias a través de una cadena de suministro durante un fin de semana festivo cuando las defensas comerciales están bajas. Lo que estamos viendo ahora en términos de víctimas es probablemente solo la sugerencia del iceberg «.

Kaseya y otros proveedores de monitoreo y administración remota (RMM) son objetivos ideales para los ataques, porque el software package es utilizado por proveedores de servicios administrados y cualquier compromiso no solo encripta los sistemas en esas empresas, sino también en los negocios de sus clientes.

Las estimaciones del número de víctimas variaron entre unos 30 proveedores de servicios gestionados, según Huntress Labs, y «menos de 60 clientes de Kaseya», según Kaseya. Sin embargo, el impacto actual es mucho más amplio, con Huntress Labs estimando que más de 1,000 negocios se han visto afectados y Kaseya estimando «menos de 1,500 negocios posteriores».

La empresa de seguridad Kaspersky ha detectado más de 5.000 intentos de ataque repartidos en 22 países. la empresa declaró. Si bien la empresa no determine explícitamente «intento de ataque», la estadística probablemente represente intentos de instalar uno de los componentes del ransomware en empresas ya comprometidas como parte de la cadena de ataque. Italia encabezó la lista de naciones, representando más del 45% de los intentos de ataques de ransomware asociados con la operación Kaseya, y Estados Unidos y Colombia ocuparon las dos posiciones siguientes con aproximadamente el 26% y el 15% de la participación, respectivamente.

Kaseya advirtió a los MSP que cerraran su software package hasta nuevo aviso.

«Todos los servidores VSA locales deben permanecer fuera de línea hasta recibir instrucciones de Kaseya sobre cuándo es seguro restaurar las operaciones», dijo Kaseya. declaró en su último aviso sobre los temas. «Se requerirá la instalación de un parche antes de reiniciar el VSA y un conjunto de recomendaciones sobre cómo aumentar su postura de seguridad. Nuestros expertos externos nos han informado que los clientes que experimentaron ransomware y reciben comunicación de los atacantes no deben hacer clic onanylinks: pueden ser convertidos en armas «.

Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. guía publicada para las empresas, lo que incluye garantizar que las copias de seguridad estén actualizadas y trasladarlas a una ubicación fuera del sitio que se pueda recuperar fácilmente y que no esté conectada a la red. Además, las empresas deberían volver a un proceso de gestión de parches manual para apuntalar las defensas, afirmó CISA. La agencia se vinculó a la herramienta de detección Kaseya VSA, instando a los MSP afectados a usar la herramienta para verificar sus sistemas en busca de signos del ataque.

«CISA y el FBI recomiendan que los clientes de MSP afectados por este ataque tomen medidas inmediatas para implementar las siguientes mejores prácticas de ciberseguridad», indicó el aviso. «Nota: estas acciones son especialmente importantes para los clientes de MSP que actualmente no tienen su servicio RMM en ejecución debido al ataque de Kaseya».

El ataque probablemente hizo uso de una vulnerabilidad de día cero en los servidores Kaseya VSA con conexión a World-wide-web que muchos proveedores de servicios administrados instalaron en sus instalaciones, según la firma de ciberseguridad Sophos. Esto, a su vez, les dio a los atacantes acceso a los sistemas de los clientes de los MSP.

«Como Kaseya es utilizado principalmente por proveedores de servicios administrados (MSP), este enfoque les dio a los atacantes acceso privilegiado a los dispositivos de los clientes de MSP». la empresa dijo. «Algunas de las funciones de un servidor VSA son la implementación de software y la automatización de las tareas de TI. Como tal, tiene un alto nivel de confianza en los dispositivos de los clientes».

Si bien la investigación sobre el incidente y la respuesta al ataque generalizado están en curso, el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD) ha informado que el número de casos sospechosos de Kaseya VSA accesibles desde World-wide-web se ha desplomado de más de 2.200 a 140. El DIVD también reveló que un investigador asociado con el grupo, Wietse Boonstra, había «identificado previamente una serie de vulnerabilidades de día cero (CVE-2021-30116) que se utilizan actualmente en los ataques de ransomware «.

DIVD apoyó la respuesta de Kaseya al ataque, diciendo que la compañía respondió rápidamente a su divulgación y trabajó diligentemente para producir un parche.

«Durante todo el proceso, Kaseya ha demostrado que estaban dispuestos a poner el máximo esfuerzo e iniciativa en este caso, tanto para solucionar este problema como para reparar a sus clientes», dijo el grupo. declaró en su última actualización. «Demostraron un compromiso genuino de hacer lo correcto. Desafortunadamente, REvil nos derrotó en el sprint final, ya que podían explotar las vulnerabilidades antes de que los clientes pudieran incluso parchear».

Hack de vacaciones

El ataque coincidió con el Día de la Independencia de Estados Unidos, un fin de semana largo, que dejó a muchas empresas en apuros. Una serie de otros ataques importantes se han atribuido a REvil, también conocido como Sodinokibi, como el ataque a JBS Usa Holdings, que pagó un estimado de $ 11 millones para recuperar sus datos y sistemas. Además, el gobierno de EE. UU. Culpó a REvil por el ataque a los gobiernos y agencias locales en el estado de Texas hace casi dos años, que también parece haber involucrado al menos a un proveedor de servicios administrados.

Dichos ataques continuarán mientras las vulnerabilidades de la cadena de suministro sean fáciles de explotar, dijo Meyers de CrowdStrike.

«El éxito continuo de los grandes ataques a la cadena de suministro de application proporciona una perspectiva ominosa para las organizaciones de todos los tamaños, ya que los actores de amenazas observan cuán rentables y amplios pueden ser», dijo. «Las organizaciones deben entender que estos titulares ya no son advertencias, sino que son una realidad de lo que les espera en el futuro si no han establecido una estrategia de ciberseguridad madura».



Enlace a la noticia authentic