Ataque de Kaseya: en qué se parecen los ataques de ransomeware a las empresas emergentes y qué debemos hacer al respecto


El ataque de Kaseya es especialmente único porque no comenzó con una violación de contraseña y las empresas estaban siguiendo las mejores prácticas de ciberseguridad. Entonces, ¿cómo podemos protegernos contra esta amenaza?

Karen Roby de TechRepublic habló con Marc Rogers, director ejecutivo de ciberseguridad de Okta, sobre la ciberseguridad y el ataque de Kaseya. La siguiente es una transcripción editada de su conversación.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Marc Rogers: El ataque de ransomware Kaseya debería ser una llamada de atención para todos nosotros. Hemos visto ataques sofisticados de ransomware antes, pero no los hemos visto a esta escala y no los hemos visto con este efecto devastador. Lo que lo hace diferente es cuando miras tus ataques de ransomware típicos, como el de Colonial Pipeline, es un gran ejemplo, generalmente implica una forma muy basic de ingresar. Como si alguien tuviera una contraseña o alguien encontrara una sesión de escritorio remota expuesta, permitida ellos acceden. Y eso se debe a que las bandas de ransomware suelen buscar la forma más fácil de ingresar rápidamente, ganar algo de dinero y salir. Pero lo que sucedió con Kaseya es que de alguna manera los afiliados de ransomware involucrados en esto, la banda detrás de esto se llama REvil, encontraron una vulnerabilidad que Kaseya estaba en proceso de arreglar y la usó para atacar a Kaseya. Y luego, más específicamente, atacar a los clientes de Kaseya, sabiendo que esos clientes eran proveedores de servicios administrados que tenían miles de sus propios clientes.

Fueron uno por uno, apuntando a las plataformas MSP locales para poder atacar a los clientes que estaban debajo. Y cuando abrieron la plataforma en las instalaciones, la usaron para infectar a los clientes a continuación. Y así, de repente, encontramos miles de pequeñas y medianas empresas afectadas por este ataque esencialmente de ransomware a la cadena de suministro. Es diferente porque comenzó con un día cero y eso es inusual. Es difícil decir las mejores prácticas en términos de evitar esto, ¿cómo se parchean para algo? Los días cero, por su naturaleza, no tienen parches para ello. Las empresas infectadas estaban siguiendo las mejores prácticas. Si es una empresa pequeña sin un equipo de seguridad, debería utilizar un MSP para realizar sus servicios de seguridad. Entonces, todos estos tipos estaban haciendo en su mayoría las cosas correctas. Hubo algunos errores, como que la plataforma que se está utilizando no debería haber estado expuesta a World wide web.

VER: El ataque de Kaseya muestra cómo el software program de terceros es el método de entrega perfecto para ransomware (TechRepublic)

Creímos que estaba expuesto principalmente para que las personas pudieran trabajar a distancia debido a la pandemia y para tener una mayor disponibilidad en línea. Y parece que hubo un uso excesivo de lo que se denomina exclusiones de protección de endpoints. Esencialmente, es una regla que pones para decir: «Confío en las cosas que vienen de esta máquina, no necesitas escanearlas con un antivirus». Y que, desafortunadamente, esos dos errores conspiraron con todo el escenario para hacer un desastre realmente grande. Pero ahora estamos aquí sentados con miles de pequeñas y medianas empresas afectadas, y se ven afectadas porque confiaron en el proveedor. Y ese proveedor se vio afectado porque confiaba en su proveedor y en la seguridad de la plataforma que ese proveedor les estaba proporcionando. Entonces, es un poco difícil sacar lecciones de esto. Las lecciones simples de fortalecer su arquitectura ayudarían, pero no creo que hubieran resuelto este problema en absoluto.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Tenemos que pensar en esto como una llamada de atención. Porque para mí, esto es si consideras que el ransomware actúa casi como si fueran nuevas empresas, esto es escalar. Tienen un modelo de negocio exitoso y ahora están buscando cómo hacerlo lo más grande posible. Y es casi como si hubieran aprendido del estilo de ataque de SolarWinds a llevar a la mayor cantidad de personas posible por la cadena y aplicarlo al ransomware y obtener la mayor cantidad posible. Y en realidad hay indicios de que estos tipos no pudieron manejar el volumen de empresas que comprometieron porque tuvieron tanto éxito. Pero para nosotros, realmente necesitamos volver a pensar en cómo confiamos en nuestras cadenas de suministro para asegurarnos de que este tipo de ataque de ransomware no vuelva a ocurrir, porque es devastador. Todavía hay pequeñas empresas que tienen datos cifrados. Los que tenían copias de seguridad se las han arreglado para restaurar en mayor medida, pero hay muchas cosas que no lo hacen. Debido a que, lamentablemente, la naturaleza de una pequeña empresa, no tiene los servicios o recursos para ser realmente tan resistente como una gran empresa.

Karen Roby: Como dijiste, la mayoría de las empresas han seguido y siguen sus mejores prácticas y lo que se les sugiere. Pero este, el efecto dominó acaba de ser devastador.

Marc Rogers: Creo que hay dos grandes lecciones que van a surgir de esto. Uno es la industria. Este es otro recordatorio, al igual que recibimos de SolarWinds, de que realmente tenemos que mirar la cadena de suministro. ¿Cómo verificamos la confianza que depositamos en las empresas que son nuestros proveedores? Más importante aún, ¿cómo confiamos en sus proveedores? Debido a que son esos niveles de confianza eliminados, donde comienza a tener cada vez menos influencia, las cosas malas pueden empeorar. Algo no debería ser posible que suceda a dos o tres enlaces de ti, y luego bajar hasta el fondo y luego explotar. Ese no es un gran escenario. Y vimos esas lecciones de SolarWinds, espero que podamos ver esas lecciones aquí. Pero el otro lado es otra especie de fuerte llamado a los legisladores de que el ransomware como flagelo realmente se está saliendo de management y debemos adoptar una postura mucho más proactiva sobre cómo lidiar con él.

VER: El ataque a la cadena de suministro de Kaseya afecta a más de 1000 empresas (TechRepublic)

Las sanciones simples no son suficientes porque a menudo afectan a amplios grupos de organizaciones o personas, y no están dirigidas a individuos específicos que están ganando grandes cantidades de dinero con esto. De alguna manera tenemos que hacer esto personal para ellos. Entonces, parte del trabajo que el Departamento de Justicia ha estado haciendo para que esto sea más own, como la incautación de carteras de ransomware y cosas, es genial de ver porque es bueno ver las repercusiones reales. Pero de alguna manera tenemos que resolver este problema de que estos tipos no pueden estar fuera del alcance de los brazos, lanzar ataques devastadores contra nuestro país y luego seguir adelante.

Karen Roby: Si, exacto. Muy bien Marc, ¿algún pensamiento closing aquí?

Marc Rogers: La única otra cosa que diría es la El grupo de trabajo de ransomware publicó un informe que sugiere cómo la industria y el gobierno podrían trabajar juntos para colaborar en el ataque a esta amenaza.. El informe salió de IST y puede ser descargado. Recomendaría encarecidamente a todos los miembros de la industria que le echen un vistazo, y a los responsables de la formulación de políticas. Porque gran parte de la orientación es buena y sólida, y empuja a las personas en la dirección correcta para abordar esta amenaza y muestra que en realidad hay algunas cosas significativas que podemos hacer. Este no es un caso de «Oh, period una amenaza avanzada y persistente. Deberíamos descartarla». Esto es un «Sí, podemos hacer algo al respecto y deberíamos hacer algo al respecto».

Ver también

Concepto de ransomware

Imagen: Wetzkaz Graphics / Shutterstock



Enlace a la noticia authentic