El ataque a la cadena de suministro de Kaseya afecta a más de 1000 empresas


El grupo REvil afirma que se han infectado más de 1 millón de dispositivos y exige 70 millones de dólares por una clave de descifrado common.

ciberdelito de ransomware

Imagen: Shutterstock / Vchal

Un ataque de ransomware contra el producto de software program de una sola empresa está teniendo un efecto dominó en más de 1000 organizaciones. El 3 de julio, la empresa de TI empresarial Kaseya reveló un ciberataque exitoso contra su producto VSA, un programa utilizado por los proveedores de servicios gestionados (MSP) para supervisar y administrar de forma remota los servicios de TI para los clientes.

En ese momento, Kaseya dijo que el incidente afectó solo a un número muy pequeño de clientes en las instalaciones. Pero la naturaleza de la cadena de suministro del negocio de Kaseya significa que muchas más empresas han quedado atrapadas en las secuelas del ataque.

en un nueva publicación de weblog, la firma de seguridad Huntress dijo que ha estado rastreando alrededor de 30 MSP en todo el mundo donde se explotó Kaseya VSA para cifrar datos en más de 1,000 negocios. Estos números son superiores al informe inicial de Huntress del 3 de julio, que señala que ocho MSP se vieron afectados, lo que afectó a unas 200 empresas con archivos cifrados. Todos los servidores VSA para los MSP comprometidos se encuentran en las instalaciones.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Las estimaciones de Kaseya sobre las empresas afectadas son aún mayores. En una actualización de su publicación de web site en curso, la compañía dijo que el ataque afectó a menos de 60 clientes, todos los cuales estaban usando el producto area de VSA. Con el efecto dominó, el impacto overall se ha sentido en menos de 1.500 empresas de downstream, según Kaseya.

«No debería sorprender que los extorsionadores apunten a application de TI crítico que podría servir como acceso inicial a las redes de más víctimas», dijo Rick Holland, director de seguridad de la información y vicepresidente del proveedor de estrategia en riesgo de protección Digital Shadows. «Los proveedores de servicios administrados (MSP) aprovechan el software de Kaseya, lo que los convierte en un objetivo atractivo porque los extorsionadores pueden aumentar rápidamente los objetivos potenciales. Además, las empresas que aprovechan los MSP suelen ser pequeñas y medianas empresas (PYMES) menos maduras, que por lo normal tienen menos programas de seguridad «.

Como suele ser el caso, el ransomware funciona explotando una falla de seguridad en el computer software VSA. Específicamente, el ataque aprovecha una vulnerabilidad de día cero etiquetado CVE-2021–30116 con la carga útil entregada a través de una actualización falsa de VSA, según Kevin Beaumont del sitio de noticias de ciberseguridad Double Pulsar. Al obtener derechos de administrador, el ataque infecta los sistemas de los MSP, que luego infecta los sistemas de los clientes.

«Este ataque destaca una vez más que los piratas informáticos están listos y esperando para explotar la seguridad laxa y las vulnerabilidades sin parches con un efecto devastador», dijo Jack Chapman, vicepresidente de inteligencia de amenazas de Egress. «También muestra la importancia de proteger no solo su propia organización, sino también su cadena de suministro. Las organizaciones deben examinar de cerca los protocolos de seguridad de sus proveedores, y los proveedores deben responsabilizarse, asegurando que sus clientes estén defendidos del creciente aluvión de ataques maliciosos «.

El culpable del ataque es REvil, el infame grupo de ransomware responsable de muchos otros ataques de alto nivel. En su «Blog site feliz», el grupo asumió la responsabilidad del ataque contra Kaseya, alegando que más de 1 millón de sistemas estaban infectados, según la firma de seguridad Sophos. REvil también presentó una oferta intrigante para todas las víctimas de este ataque de ransomware. A cambio de $ 70 millones en bitcoins, el grupo publicaría un descifrador common a través del cual todas las empresas afectadas podrían recuperar sus archivos.

En su respuesta al ataque, Kaseya tomó varias acciones. La compañía dijo que cerró inmediatamente sus servidores SaaS como medida de precaución, aunque no había recibido informes de compromiso de ningún SaaS o clientes alojados. También notificó a sus clientes locales por correo electrónico, avisos en el producto y por teléfono, alertándolos de que apagaran sus servidores VSA.

Además, Kaseya reclutó la ayuda de su equipo interno de respuesta a incidentes, así como de expertos externos en investigaciones forenses para conocer la causa raíz del ataque. Además, la empresa se puso en contacto con las agencias de seguridad cibernética gubernamentales y de aplicación de la ley, incluido el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

VER: Infografía: Las 5 fases de un ataque de ransomware (TechRepublic)

Kaseya, CISA y otras partes se han apresurado a ofrecer asesoramiento a empresas y clientes potencialmente afectados.

En primer lugar, se insta a las organizaciones con servidores VSA locales a que los apaguen para evitar un mayor compromiso.

En segundo lugar, las organizaciones pueden descargar y ejecutar un Herramienta de detección de compromisos, que analiza un servidor VSA o un punto final administrado para buscar cualquier indicador de compromiso (IoC). La última versión de esta herramienta también busca el cifrado de datos y la nota de rescate REvil. Como tal, incluso las empresas que ya han ejecutado la herramienta deberían volver a ejecutarla con esta última versión.

Tercero, CISA y el FBI informaron a los MSP afectados para habilitar y hacer cumplir la autenticación multifactor (MFA) en todas las cuentas, habilite lista de permisos para limitar la comunicación con las funciones de administración y monitoreo remoto (RMM) a direcciones IP conocidas, y configurar interfaces administrativas de RMM detrás de una VPN o un firewall.

En cuarto lugar, las organizaciones deben asegurarse de que las copias de seguridad estén actualizadas y almacenadas en una ubicación accesible sin aire de la pink principal, adoptar un proceso de administración de parches guide que siga la guía del proveedor con nuevos parches instalados tan pronto como estén disponibles, y usar el principio de acceso con privilegios mínimos en cuentas clave de administrador de crimson.

Finalmente, las organizaciones afectadas e interesadas deben seguir Site del servicio de asistencia técnica de Kaseya sobre el ataque de ransomware para actualizaciones diarias.

Ver también



Enlace a la noticia unique