Kaseya VSA es una solución de monitoreo remoto y administración de TI basada en la nube
En medio del ataque masivo de ransomware a la cadena de suministro que desencadenó una cadena de infección que comprometió a miles de empresas el viernes, han surgido nuevos detalles sobre cómo la notoria pandilla de delitos informáticos REvil, vinculada a Rusia, pudo haber llevado a cabo el hackeo sin precedentes.
El Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) reveló el domingo que había alertado a Kaseya sobre una serie de vulnerabilidades de día cero en su software VSA (CVE-2021-30116) que, según dijo, estaban siendo explotadas como un conducto para implementar ransomware. La entidad sin fines de lucro dijo que la compañía estaba en proceso de resolver los problemas como parte de una divulgación coordinada de vulnerabilidades cuando ocurrieron los ataques del 2 de julio.
No se compartieron más detalles sobre las fallas, pero el presidente de DIVD, Victor Gevers, insinuó que los días cero son triviales de explotar. Se dice que al menos 1.000 empresas se han visto afectadas por los ataques, con víctimas identificadas en no menos de 17 países, incluidos el Reino Unido, Sudáfrica, Canadá, Argentina, México, Indonesia, Nueva Zelanda y Kenia, según ESET.
Kaseya VSA es una solución de monitoreo remoto y administración de TI basada en la nube para proveedores de servicios administrados (MSP), que ofrece una consola centralizada para monitorear y administrar puntos finales, automatizar procesos de TI, implementar parches de seguridad y controlar el acceso a través de la autenticación de dos factores.
REvil exige un rescate de $ 70 millones
Activo desde abril de 2019, REvil (también conocido como Sodinokibi) es mejor conocido por extorsionar $ 11 millones del procesador de carne JBS a principios del mes pasado, y el negocio de ransomware como servicio representó aproximadamente el 4,6% de los ataques en los sectores público y privado en el primer trimestre de 2021.
El grupo ahora está solicitando un pago de rescate récord de $ 70 millones para publicar un descifrador universal que pueda desbloquear todos los sistemas que han sido paralizados por el ransomware de cifrado de archivos.
"El viernes (02.07.2021) lanzamos un ataque a los proveedores de MSP. Se infectaron más de un millón de sistemas. Si alguien quiere negociar sobre el descifrador universal, nuestro precio es de 70.000.000 $ en BTC y publicaremos un descifrador público que descifra los archivos de todas las víctimas, para que todos puedan recuperarse del ataque en menos de una hora", publicó el grupo REvil en su sitio de filtración de datos en la dark web.
Kaseya, que ha solicitado la ayuda de FireEye para ayudar con su investigación del incidente, dijo que tiene la intención de "volver a poner en línea nuestros centros de datos SaaS uno por uno, comenzando con nuestros datos de la UE, el Reino Unido y Asia-Pacífico, seguidos por nuestros centros de datos de América del Norte".
Los servidores VSA locales requerirán la instalación de un parche antes de un reinicio, señaló la compañía, y agregó que está en proceso de preparar la solución para su lanzamiento el 5 de julio.
Asesoramiento sobre cuestiones de CISA
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) a emitir un aviso, instando a los clientes a descargar la Herramienta de Detección de Compromisos que Kaseya ha puesto a disposición para identificar cualquier indicador de compromiso (IoC), habilitar la autenticación de múltiples factores, limitar la comunicación con capacidades de monitoreo y administración remotos (RMM) a pares de direcciones IP conocidos, y colocar las interfaces administrativas de RMM detrás de una red privada virtual (VPN) o un firewall en una red administrativa dedicada.
"Menos de diez organizaciones [de nuestra base de clientes] parecen haberse visto afectadas, y el impacto parece haberse limitado a los sistemas que ejecutan el software de Kaseya", dijo Barry Hensley, director de inteligencia de amenazas de Secureworks.
"No hemos visto evidencia de que los actores de amenazas intenten moverse lateralmente o propagar el ransomware a través de redes comprometidas. Eso significa que es probable que las organizaciones con amplias implementaciones de Kaseya VSA se vean significativamente más afectadas que aquellas que solo lo ejecutan en uno o dos servidores".
Al comprometer a un proveedor de software para apuntar a los MSP, quienes, a su vez, brindan mantenimiento y soporte de infraestructura o centrados en dispositivos a otras pequeñas y medianas empresas, el desarrollo una vez más subraya la importancia de asegurar la cadena de suministro de software, al tiempo que destaca cómo los agentes hostiles continúan promoviendo sus motivos financieros al combinar las amenazas gemelas de los ataques a la cadena de suministro y el ransomware para atacar a cientos de víctimas a la vez.
"Los MSP son objetivos de gran valor: tienen grandes superficies de ataque, lo que los convierte en objetivos jugosos para los ciberdelincuentes", dijo Kevin Reed, director de seguridad de la información de Acronis. "Un MSP puede administrar TI para decenas a cien empresas: en lugar de comprometer a 100 empresas diferentes, los delincuentes solo necesitan piratear un MSP para acceder a todas".
