Los ataques a los servidores Kaseya llevaron al ransomware en menos …



La automatización permitió que un afiliado de REvil pasara de la explotación de servidores vulnerables a la instalación de ransomware en empresas posteriores más rápido de lo que la mayoría de los defensores podrían reaccionar.

En algún momento después de las 14:30 UTC del viernes 2 de julio, el tráfico de pink que combinaba tres vulnerabilidades comenzó a comprometer decenas de servidores Kaseya Digital Process Administrator (VSA) conectados a World wide web alojados por proveedores de servicios administrados. El código de los atacantes se sincronizó a una hora específica y luego hibernó.

A las 4:30 p.m. UTC, todo en el mismo segundo, los servidores comprometidos se despertaron y ejecutaron un script de comando que deshabilitó una variedad de controles de seguridad y envió cargas útiles maliciosas a todos los sistemas administrados por esos servidores, según un análisis realizado por Huntress Labs. Si bien las empresas de seguridad aún están examinando los datos, la ingeniería inversa ha revelado que el ataque, desde los primeros paquetes que explotan docenas de servidores VSA hasta la implementación de ransomware en los puntos finales de cientos o miles de clientes de MSP, tomó menos de dos horas.

La velocidad de la automatización les dio a los proveedores de servicios administrados y a sus clientes solo una ventana muy estrecha para detectar ataques y bloquearlos, dice John Hammond, investigador senior de amenazas de Huntress Labs. Las empresas tendrían que ejecutar un monitoreo y alertas frecuentes para detectar los cambios, dice.

«Desafortunadamente, esta forma de detección y registro hiperactivos es poco común: los proveedores de servicios administrados a menudo no tienen los recursos, y mucho menos el private para monitorear con frecuencia componentes masivos de su application y pila», dice Hammond. «Dicho esto, la eficacia y el potencial de los cazadores de amenazas impulsados ​​por humanos nunca es algo que deba dejarse fuera de la ecuación».

El rápido cambio de rumbo del ataque subraya la línea de tiempo comprimida para que los defensores respondan a los ataques automatizados. El grupo REvil y sus afiliados, a quienes se cree responsables del ataque, buscaron servidores VSA conectados a Net y, cuando los encontraron, enviaron el exploit inicial, que encadenaba tres vulnerabilidades.

A las 14:48 UTC del viernes 2 de julio, los primeros paquetes comenzaron a llegar a los servidores Kaseya VSA en las instalaciones, según los registros recopilados de los MSP afectados por Huntress Labs. Las fallas explotadas incluyeron una omisión de autenticación, una carga de archivo arbitraria y una inyección de comando. La actividad continuó, hasta que los procesos de hibernación se reactivaron a las 16:30 UTC, y las firmas antivirus de repente comenzaron a ver picos en las detecciones de la carga útil del ransomware.

En la hora posterior a la activación del ataque, entre las 16:30 y las 17:30 UTC, la firma antivirus Sophos detectó un aumento masivo en la actividad de ransomware bloqueada en sus terminales.

«Empezamos a ver la telemetría inmediatamente cuando los sistemas cliente empezaron a ser afectados», dice Sean Gallagher, investigador senior de amenazas en Sophos. «La telemetría aumentó a la vez, en una ventana de tiempo muy pequeña». Después de eso, la mayoría del ataque se hizo en silencio, dice.

Debido a que Kaseya VSA administra otros sistemas, el software package no solo tiene privilegios más altos, generalmente privilegios de administrador, en otros sistemas, sino que a menudo también tiene exclusiones para que el software antivirus no marque su actividad como maliciosa. El script de línea de comandos que se ejecutó a las 16:30 UTC del viernes ejecutó un script de PowerShell, deshabilitando muchas medidas de seguridad, cargando certificados y ejecutando un ejecutable malicioso disfrazado de certificado, agent.crt.

El insulto remaining: los atacantes instalaron una versión obsoleta del programa antivirus de Microsoft, Defender, para cargar la carga útil final del ransomware.

«Utiliza un producto antivirus para cargar un virus», dice Gallagher de Sophos. «Se eliminó una versión obsoleta de Home windows Defender que es susceptible a ataques de carga lateral … e instala una DLL maliciosa (biblioteca vinculada dinámica) que tiene el mismo nombre que una DLL que cargaría Home windows Defender». Debido a que era un fragmento de código firmado por Microsoft, eludiría cierta protección contra malware, ya que parece un fragmento de código legítimo, aunque tenga más de 6 años.

El Instituto Holandés de Divulgación de Vulnerabilidades (DIVD), que encontró al menos una de las vulnerabilidades utilizadas en el ataque, publicó más información sobre los temas el 7 de julio. Las vulnerabilidades fueron descubiertas en abril, reveladas a Kaseya, y DIVD había trabajado con la compañía mientras reforzaba su seguridad y comenzaba a producir parches.

En common, Kaseya no «ha estado holgazaneando» e hizo todo lo que DIVD esperaba de ellos, dice Victor Gevers, presidente de DIVD. La compañía no tenía los procesos de seguridad implementados en abril para manejar los requisitos de parcheo y respuesta a incidentes, pero rápidamente aumentó, dice.

«Si revisa el cronograma, unos días después de la notificación, sabían que necesitaban contratar más personalized de seguridad, y lo hicieron», dice. «Demostró que su postura de seguridad aún no estaba a la altura».

El lunes, Kaseya estimó que menos de 60 clientes, cada uno de los cuales usaba la versión area del servidor VSA, se había visto afectado, con menos de 1,500 negocios en sentido descendente en full afectados. En entrevistas, los expertos en seguridad esperaban que ese número aumentara.

A las 8 a.m. ET del 7 de julio, Kaseya seguía teniendo problemas para solucionar el problema y ha retrasado la implementación de una solución para los clientes locales.

Si bien los atacantes afirman que más de un millón de puntos finales fueron cifrados por el ransomware, es possible que el número sea exagerado, dicen los expertos en seguridad. Sin embargo, muchas empresas han sufrido interrupciones debido al ataque. La cadena de supermercados sueca Coop tuvo que cerrar varios cientos de tiendas el sábado debido al ataque de ransomware, y varias escuelas de Nueva Zelanda se vieron afectadas. según un informe de Reuters.

La administración Biden sostuvo el martes que el ataque causó un daño mínimo a las empresas estadounidenses, pero tiene la intención de presionar cada vez más a Rusia para frenar a los atacantes que actúan desde dentro de sus fronteras. «Si el gobierno ruso no puede o no quiere tomar medidas contra los actores criminales que residen en Rusia, tomaremos medidas o nos reservamos el derecho de actuar por nuestra cuenta», dijo el martes la secretaria de prensa de la Casa Blanca, Jen Psaki. según el Washington Put up.

El ataque pudo haber sido peor. Al principio, alrededor de 2.200 servidores VSA vulnerables estaban conectados a World-wide-web, según datos de DIVD. Sin un parche de Kaseya, o incluso una notificación o solución alternativa, los MSP que alojan esos servidores habrían tenido dificultades para defenderse del ataque, dice Corey Nachreiner, director de seguridad de WatchGuard Systems.

«En muchos casos, no existen protecciones reales contra las vulnerabilidades de la pink de día cero, lo que puede dejar a la gente ciega a los indicadores de ese ataque hasta después de ese hecho», dice. «Dicho esto, existen soluciones de seguridad que detectaron el ransomware involucrado y podrían prevenirlo desde la perspectiva de un punto closing personal».

Si bien el uso de una vulnerabilidad previamente desconocida y el ataque rápido y automatizado pueden llevar a que muchos llamen al ataque un exploit de día cero, Hammond de Huntress Labs no está de acuerdo con esa descripción.

«En mi opinión, un día cero se determine como los defensores que tienen cero días para prepararse. Pero Kaseya ya había estado trabajando con DIVD, así que tengo que poner un asterisco alrededor de la noción de que tenían cero días para prepararse».

Los clientes de pequeñas y medianas empresas de los proveedores de servicios administrados se suscribieron a sus servicios porque no tenían la experiencia para administrar su propia tecnología. Los proveedores y MSP deben asumir la responsabilidad de su seguridad, dice Hammond.

«Hemos hablado un poco sobre estos servicios, por diseño, dando acceso administrativo y superpoderes divinos a todos los clientes potenciales», dice. «Los proveedores y las empresas, incluyéndonos a nosotros, tienen que revisar el código fuente, tener ese equipo rojo interno y tener la absoluta certeza de asegurarse de que la tecnología esté adaptada al mundo y sea segura».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Studying, MIT&#39s Technologies Critique, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first