El ransomware REvil manipula Kaseya para atacar a cientos de empresas

El ciberataque (con concomitancias con el famoso caso de SolarWinds) explotó el sistema de actualización de la empresa de software de servicios de TI Kaseya para propagar (y ocultar) el ransomware.

Publicado el 06 Jul 2021

75427_51

Este pasado viernes, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado. Utilizando un exploit (vulnerabilidad) del servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya. Un procedimiento que nos hace recordar el de Solarwinds.

REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes “afiliados” a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afectó a más de 20 pequeñas administraciones locales en Texas. Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:Program FilesKaseya y similares) están siendo capaces de desplegar un el código ransomware de REvil.

Desde Sophos, líder global en ciberseguridad de última generación, queremos facilitarte a continuación información actualizada sobre su alcance y las opiniones de dos de los principales expertos en ciberamenazas de Sophos:

Para Ross McKerchar, VP y Director de Seguridad de Información de Sophos: Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significan más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones”.

Por su parte, Mark Loman, Director de Ingeniería explica que “Sophos está investigando de forma activa el ataque a Kaseya, que vemos como un ataque de distribución de la cadena de suministro. Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sinimportar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto, ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida. En otros ataques a gran escala que hemos visto en el sector, como WannaCry, el propio ransomware era el distribuidor; en este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto”.

Algunos atacantes de ransomware que han tenido éxito han recaudado millones de dólares en concepto de rescate, lo que les ha permitido comprar exploits de día cero muy valiosos. Ciertos exploits suelen considerarse sólo al alcance de estados-nación. Mientras que los “estados-nación” los utilizarían con moderación para un ataque aislado específico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana.

“Un día después del ataque, se hizo más evidente que un afiliado del REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software ofrece un canal de comunicación de alta confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI.”

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

C
Redacción Channel Partner

Artículos relacionados