El ataque de Kaseya muestra cómo el program de terceros es el método de entrega perfecto para ransomware


Un análisis de Sophos sugiere que el último ataque es comparable al que sufrió Kaseya en 2018.

ransom.jpg

Kaseya emitió su informe anual de operaciones de TI solo tres días antes de ser atacado por un ataque de ransomware. La primer hallazgo del informe fue increíble y desafortunadamente precisa: mejorar la seguridad de TI sigue siendo la máxima prioridad en medio de un aumento de los ataques cibernéticos.

Según un análisis de Sophos, los malos actores detrás de este ataque «no solo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizó un programa de protección contra malware como vehículo de entrega del código de ransomware REvil. »

Eldon Sprickerhoff, director de innovación y fundador de la empresa de ciberseguridad eSentire, dijo que Kaseya fue golpeada con un ataque related en 2018 y que este ataque true podría ser una variación de la misma táctica.

«Supongo que en el ciberataque de 2018, un actor de amenazas descubrió un día cero en Kaseya, fue a una herramienta como Shodan y buscó todas las instancias de Kaseya externas, creó un paquete para extraer Monero y luego en masa comenzó a obtener acceso a estas instalaciones de Kaseya y desplegar a sus mineros «, dijo.

Meg King, directora del Programa de Innovación de Ciencia y Tecnología en The Wilson Center, dijo que el ataque es un paso audaz para los actores criminales.

«Los métodos de ataque complejos y costosos ya no son solo el foco de atención de los estados nacionales», dijo. «El hecho de que el punto de entrada fuera un exploit de día cero demuestra que la experiencia de los grupos de piratería legal está creciendo».

VER: El ataque Colonial Pipeline aumenta el juego de ransomware (TechRepublic)

Sprickerhoff dijo que obtener acceso a las credenciales de nivel de administración para una solución de administración remota como Kaseya y dirigirse a los proveedores de servicios administrados, es una forma muy eficiente de implementar ransomware a escala.

«Esencialmente, los MSP hacen todo el trabajo duro para los actores de amenazas porque, sin saberlo, implementan el software program malicioso en todos sus clientes», dijo.

El ransomware como servicio se adapta bien

El ataque SolarWinds mostró el beneficio de utilizar software package de terceros como un componente del ransomware-as-a-service. Esa táctica en el modelo de negocio del mal actor sufrió un golpe como resultado del ataque Colonial Pipeline, pero todavía hay componentes viables del modelo. Al distribuir el trabajo a especialistas (ingenieros para escribir software de cifrado, expertos en penetración de redes para encontrar y comprometer objetivos y negociadores profesionales para garantizar el máximo pago), es más fácil escalar el modelo y alcanzar más objetivos a la vez. El uso de software package de terceros para entregar la carga útil se ajusta a ese strategy.

Purandar Das, evangelista jefe de seguridad y cofundador de la empresa de application de seguridad Sotero, dijo que hay varias ventajas en el uso de application de terceros como vehículo de ataque.

«Este tipo de ataques se están volviendo comunes debido a la facilidad con la que permiten a los atacantes acceder a una pink segura, así como la capacidad de atacar a gran escala», dijo Das.

Además, la mayoría de las organizaciones confían en el proveedor de application para garantizar que el software sea seguro y, por lo general, hay menos escrutinio de la seguridad de los productos de program de terceros una vez que se adopta la plataforma, según Das.

«Es difícil para los clientes de los productos poder identificar las vulnerabilidades que existen en un producto de computer software de terceros debido a la falta de conocimiento sobre el producto y su arquitectura», dijo.

Ian McShane, evangelista jefe de Arctic Wolf y CTO de campo sobre el ataque de ransomware Kaseya, dijo que este último incidente prueba una vez más que no existe una solución mágica para garantizar la ciberseguridad.

«Una organización podría haber hecho todo bien (parches actualizados, MFA, búsqueda proactiva, and so on.) y debido a la naturaleza de la herramienta Kaseya que tiene un alcance administrativo generalizado, aún podrían haber sido afectados por este ataque de ransomware». él dijo.

McShane también dijo que la reducción del riesgo y el impacto de estos ataques se basa en responder rápidamente, pasar rápidamente de la investigación a la contención y mantener un mapa completo de su entorno y lo que se ejecuta dentro de él.

Empresas de todos los tamaños están en riesgo

La directora de estrategia de Cobalt, Caroline Wong, dijo que este último ataque muestra que todos y cada uno son vulnerables a los ataques de ransomware en estos días.

«Tenemos datos que revelan que aunque el 78% de los líderes de TI consideran el pentesting como un elemento de alta prioridad para sus equipos de seguridad, los encuestados realizan un pentesting en solo el 63% de su cartera de aplicaciones general en promedio», dijo. «Este es un problema colosal, y que deja a las organizaciones vulnerables a los desastrosos ataques a nivel de Kaseya».

Barry Hensley, director de inteligencia de amenazas de Secureworks, dijo que su compañía no ha visto evidencia de que los actores de amenazas intenten moverse lateralmente o propagar el ransomware a través de redes comprometidas.

«Eso significa que es possible que las organizaciones con implementaciones amplias de Kaseya VSA se vean significativamente más afectadas que aquellas que solo lo ejecutan en uno o dos servidores», dijo.

David Bicknell, analista principal de investigación temática en GlobalData, espera que las pequeñas y medianas empresas sean las que más sufran.

«Ellos confían en sus proveedores de servicios administrados para recibir soporte y ahora enfrentan ataques de ransomware potencialmente devastadores entregados a través del software program de administración de TI utilizado por esos proveedores de servicios administrados», dijo.

Bicknell dijo que la industria de la ciberseguridad, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Y la administración de Biden deberían proporcionar una mayor resistencia cibernética a las empresas más pequeñas.

«Si no lo hacen, el 2021 verá el lanzamiento de un ciberataque exitoso en la cadena de suministro tras otro», dijo.

Ver también



Enlace a la noticia original