Lectura oscura | Seguridad | Proteja el negocio



Kaseya, proveedor de software package de monitoreo y administración remota, lanzó un parche el 11 de julio para corregir una vulnerabilidad en su servidor que el grupo REvil vinculado a Rusia explotó nueve días antes para lanzar un ataque de ransomware contra proveedores de servicios administrados y sus clientes.

Si bien el 95% de sus clientes basados ​​en la nube han vuelto al servicio, el ataque continúa afectando a los clientes y clientes de Kaseya. Algunas empresas continúan luchando mientras otras han comenzado a regresar a algo parecido al negocio standard.

JustTech, con sede en La Plata, Maryland, que brinda servicios de tecnología a más de 3.000 clientes en seis estados y Washington DC, tuvo cerca de 100 clientes «completamente inactivos» el 2 de julio, dice el fundador y presidente Joshua Justice. Las oficinas de la ciudad de dos clientes de JustTech, en North Beach y Leonardtown, Maryland, han reconocido que se vieron afectados por el ataque. Si bien la empresa tenía copias de seguridad limpias desde la mañana del ataque, no tenía forma de transferir fácilmente las copias de seguridad a los clientes.

Así que Justice reunió a sus empleados no técnicos para transportar discos duros desde los centros de datos de la compañía a las oficinas de esos clientes. Estima que el trabajo se hará hoy.

«Teníamos planes para traer clientes de regreso y recuperarnos por completo de situaciones como esta, pero nunca imaginamos que tendríamos que hacer todo a la vez», dice. «A medida que los datos del cliente se transfieren desde nuestros centros de datos seguros a los discos duros, los miembros del equipo de JustTech que no son de TI han sido administradores de los datos de los clientes y han llevado los discos duros a la ubicación de un cliente para reunirse con un miembro del equipo de TI de JustTech para la reinstalación».

JustTech es un solo cliente de Kaseya y cuenta con 100 organizaciones afectadas. Esto sugiere que si de 30 a 70 clientes de Kaseya se vieran afectados, como indican las estimaciones actuales, el número de empresas posteriores podría superar fácilmente el complete de organizaciones de 1500 a 2000 que se estima que se verán afectadas. El proveedor danés de servicios gestionados VelzArt, por ejemplo, supuestamente había 200 a 300 clientes afectados por el ataque. Kaseya supuestamente estimó alrededor del 70% de sus clientes afectados eran proveedores de servicios gestionados, un hecho que podría tener un efecto multiplicador significativo en el número complete de empresas afectadas.

El 30% restante son usuarios de Kaseya como Virginia Tech, que ejecutó una versión regional del vulnerable servidor Digital Server Administrator (VSA). La universidad no tiene clientes posteriores, pero el ataque dio como resultado que unos 600 sistemas se encriptaran con ransomware. según una cuenta de noticias community.

El proveedor holandés de servicios de tecnología Hoppenbrouwers Techniek también reveló que alrededor de 1.500 a 2.000 sistemas probablemente se habían visto afectados. La compañía requirió que los empleados llevaran su sistema a la oficina para que los técnicos reinstalaran el sistema operativo y restauraran los datos. No está claro si sus clientes comerciales también se vieron afectados.

Kaseya lanzó un parche para los servidores independientes el domingo y luego trabajó durante el día y la noche para parchear su servicio en la nube, que tiene más de 30.000 clientes.

«Como se publicó en la actualización anterior, lanzamos el parche a los clientes de VSA On-Premises y comenzamos a implementarlo en nuestra infraestructura VSA SaaS antes del objetivo de las 4:00 p.m.», declaró la compañía en una publicación a las 3 a.m. ET del lunes 12 de julio. «La restauración de los servicios está progresando, con el 95% de nuestros clientes de SaaS en vivo y los servidores en línea para el resto de nuestros clientes en las próximas horas».

La compañía enfrentó un nuevo escrutinio este fin de semana luego de informes de que los empleados habían señalado previamente a los ejecutivos problemas importantes de seguridad. En 2019, un empleado le entregó a Kaseya un memorando de 40 páginas que describía las preocupaciones de seguridad, Bloomberg informó el 10 de julio. Posteriormente, el empleado fue despedido, según el informe.

Según los informes, Kaseya también trasladó una cantidad significativa de desarrollo a Bielorrusia, un país con estrechos vínculos con Rusia y recientemente el foco de una protesta después de desvió un vuelo de Ryanair para arrestar a un periodista.

El ataque de ransomware ha dividido a las víctimas en dos campos: las organizaciones con buenos procedimientos de copia de seguridad y las que no lo tienen. La cadena de supermercados sueca Coop reabrió sus tiendas la semana pasada después de que el ataque destruyera los sistemas de pago de las tiendas. La empresa amplió rápidamente su propio sistema de pago de piloto a más de 300 tiendas.

«Coop ha realizado grandes inversiones en TI y seguridad en los últimos años, pero podemos afirmar que tenemos que hacer más», dijeron los funcionarios. dijo en un comunicado (traducido a través de Google). «Este es un ataque a la sociedad en general, y no solo a la sociedad sueca, sino que también es raro en su tipo por su tamaño».

No todas las empresas tenían copias de seguridad completas de sus sistemas, informó el MSP danés VelzArt. El proveedor de servicios declaró el 8 de julio que todos los servidores, estaciones de trabajo conectadas al servidor y empresas con copias de seguridad han recuperado sus datos, pero que muchos trabajadores remotos no tenían copias de seguridad y no podrán recuperar sus datos.

La única esperanza, la empresa escribió en su weblog (traducido a través de Google) es para recuperar las claves.

«Los ataques anteriores de ransomware a gran escala han demostrado que, en algunos casos, eventualmente existe una clave que puede deshacer el cifrado no está claro en este momento si esta clave se liberará y cuándo», informó la compañía. «Dado el hecho de que muchas empresas en un país como Estados Unidos se han visto afectadas, esperamos que esto ocurra, pero quizás en contra de lo mejor. Desafortunadamente, tampoco sabemos de esto».



Enlace a la noticia authentic