Estafadores aprovechan el ataque de ransomware Kaseya para implementar malware


Una nueva campaña de phishing afirma ofrecer una actualización de seguridad para el software package VSA de Kaseya, pero en realidad intenta instalar malware, dice Malwarebytes.

concepto-de-notificación-de-malware-o-error-alerta-roja-alerta-de-spam-vector-id1142226935.jpg

Imagen: danijelala, Getty Images / iStockPhoto

Los ciberdelincuentes ya están aprovechando el ataque de ransomware contra la empresa de TI Kaseya para implementar spam diseñado para infectar computadoras con malware entregado por Cobalt Strike. en un Actualización del 6 de julio a un site en curso y un Pío Sobre el incidente de Kaseya, la firma de seguridad Malwarebytes dijo que su equipo de Threat Intelligence ha detectado una campaña de spam maliciosa que explota el ataque de Kaseya VSA.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

El correo electrónico de phishing enviado en esta campaña pretende ofrecer una solución para la falla de seguridad de Kaseya, y le dice al destinatario: «Instale la actualización de Microsoft para protegerse contra el ransomware lo antes posible. Esto está solucionando una vulnerabilidad en Kaseya».

El correo electrónico lleva un archivo adjunto llamado SecurityUpdates.exe. Pero cualquiera que intente ejecutar el archivo adjunto será tratado con una dosis de malware cortesía de la penetrante herramienta de prueba Cobalt Strike.

kaseya-update-scam-email-malwarebytes.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/07/552579c5-dc68-4f51-92e4-9570331d5a95/resize /770x/1d1b603674404644f81937661b4b873c/kaseya-update-scam-email-malwarebytes.jpg

Imagen: Malwarebytes

Diseñado y concebido como un programa de seguridad legítimo, las organizaciones utilizan Cobalt Strike para probar su seguridad interna y buscar puntos débiles. Pero la herramienta ha sido adoptada cada vez más por los ciberdelincuentes para implementar cargas útiles maliciosas en las computadoras victimizadas. El programa ha sido popular entre los principales grupos de delitos cibernéticos y los grupos avanzados de amenazas persistentes, pero recientemente ha ganado una mayor tracción entre los delincuentes de productos básicos en standard.

Normalmente, los atacantes descargan Cobalt Strike como una segunda etapa después del compromiso inicial. Pero últimamente ha habido un aumento en las campañas que impulsan Cobalt Strike como primera carga útil para preparar el escenario para el ataque.

Esta actualización falsa de Kaseaya está alojada en la misma dirección IP utilizada para una campaña anterior que impulsaba al troyano bancario Dridex, según Jerome Segura, analista principal de inteligencia de malware para Malwarebytes. Segura dijo que Malwarebytes ha visto al mismo actor de amenazas detrás de Dridex usando Cobalt Strike, pero no pudo confirmar el grupo detrás de esta nueva campaña.

El 3 de julio, Kaseya reveló que su producto VSA había sido víctima de un ataque de ransomware. Utilizado por los proveedores de servicios gestionados, el program permite a los usuarios supervisar y administrar de forma remota los servicios de TI para sus clientes. El ransomware explota un vulnerabilidad de día cero en el software program VSA, entregando la carga útil maliciosa a través de una actualización falsa de VSA.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

El ataque infectó directamente a menos de 60 clientes de Kaseya, todos los cuales estaban ejecutando el producto community de VSA. Sin embargo, un efecto dominó en toda la cadena de suministro de Kaseya significó que esos sistemas infectados luego infectaran los sistemas de alrededor de 1.500 clientes, según Kaseya.

El grupo de ransomware REvil asumió con orgullo la responsabilidad del ataque. En su propio «Website feliz», el grupo afirmó que más de 1 millón de sistemas estaban infectados, según la firma de seguridad Sophos. REvil también ideó una oferta cautivadora para todas las víctimas del ataque. A cambio de $ 70 millones en bitcoins, el grupo publicaría un descifrador common que permitiría a todas las empresas afectadas recuperar sus archivos.

Kaseya ha estado trabajando en un parche para corregir la vulnerabilidad en su program VSA. Pero la empresa aparentemente se ha topado con problemas técnicos. El martes por la noche, Kaseya reveló que se descubrió un problema que bloqueó el lanzamiento del parche durante la implementación, lo que retrasó la línea de tiempo para su lanzamiento. En un actualizar a su blog site, la compañía dijo que anunciaría la nueva disponibilidad planificada del parche a las 5 p.m. Hora del Este el miércoles.

«Los ciberdelincuentes capitalizan habitualmente el pánico que surge de eventos de interés periodístico», dijo Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel. «Lo vimos con los controles de estímulo de COVID, la disponibilidad de vacunas y ahora con el ataque a la cadena de suministro de Kaseya».

Para ayudar a las organizaciones a protegerse contra este tipo de estafas, Clements dijo que es importante que los usuarios examinen las fuentes de información para asegurarse de que sean precisas antes de abrir archivos adjuntos o compartir información confidencial. Los correos electrónicos de phishing son un juego de números antes de que uno pase por alto un filtro de seguridad y llegue al buzón de correo del usuario, agregó Clements.

«Incluso las mejores soluciones anti-malware pueden ser engañadas por técnicas inteligentes de ofuscación binaria», dijo Clements. «Como tal, es basic tener niveles de controles que anticipen fallas de otros controles. Aquí es donde el monitoreo continuo y la búsqueda de amenazas proactiva realmente brillan al brindar la capacidad de identificar actividades potencialmente sospechosas que logran evadir las defensas primarias».

Ver también





Enlace a la noticia first