La semana pasada, la banda de ransomware REvil llevó a cabo un ataque de ransomware en la cadena de suministro sin precedentes contra los clientes del producto VSA de Kaseya.
actualización de julio 6, 2021:
A pesar de que la banda cibernética REvil afirma haber infectado 1 millones de sistemas que ejecutan servicios de Kaseya, Las autoridades federales dicen que el número de entidades infectadas es de miles.. Aproximadamente 1,500 Se cree que los sistemas han sido víctimas del ataque.. Kaseya también dice que el ataque no es una cadena de suministro que descarte la posibilidad de acceso a su infraestructura de backend., pero se basa más bien en CVE-2021-30116 zero-days. Los días cero se aprovecharon de una manera que impulsó con éxito el ransomware REvil en sistemas vulnerables..
actualización de julio 12, 2021:
Kaseya lanzó parches para las vulnerabilidades, 10 días después del ataque inicial. “Se corrigieron las vulnerabilidades de seguridad relacionadas con el incidente al que se hace referencia aquí y se realizaron otras actualizaciones para mejorar la seguridad general del producto.,” Kaseya dijo en su consultivo.
Kaseya VSA es un software de administrador de servidor / sistema virtual que monitorea y administra la infraestructura de los clientes de Kaseya. El producto se puede suministrar como un servicio en la nube alojado, o mediante servidores VSA locales.
“Desafortunadamente, el producto VSA de Kaseya ha sido víctima de un ciberataque sofisticado. Debido a la rápida respuesta de nuestros equipos, creemos que esto se ha localizado en un número muy pequeño de usuarios locales,", Dijo Kaseya en un comunicado.. Según el aviso, Todos los servidores VSA locales deben permanecer fuera de línea hasta recibir instrucciones de la empresa sobre cuándo es seguro restaurar las operaciones..
¿Cómo llevó a cabo el ataque de Kaseya la banda de ransomware REvil??
Según una actualización compartida por el DIVD CSIRT, el Instituto Holandés para la Divulgación de Vulnerabilidades, la organización había alertado previamente a Kaseya de varias vulnerabilidades de día cero, conocido con el identificador CVE-2021-30116, en el software VSA:
Wietse Boonstra, un investigador de DIVD, ha identificado previamente una serie de vulnerabilidades de día cero [CVE-2021-30116] que se utilizan actualmente en los ataques de ransomware. Y si, hemos informado estas vulnerabilidades a Kaseya según las pautas de divulgación responsable (también conocido como divulgación coordinada de vulnerabilidades).
Una vez que Kaseya tuvo conocimiento de nuestras vulnerabilidades informadas, hemos estado en constante contacto y cooperación con ellos. Cuando los elementos de nuestro informe no estaban claros, hicieron las preguntas correctas. También, Se compartieron parches parciales con nosotros para validar su efectividad.. Durante todo el proceso, Kaseya ha demostrado que estaban dispuestos a poner el máximo esfuerzo e iniciativa en este caso, tanto para solucionar este problema como para reparar a sus clientes.. Mostraron un compromiso genuino por hacer lo correcto.. Desafortunadamente, REvil nos derrotó en el sprint final, ya que podrían aprovechar las vulnerabilidades antes de que los clientes pudieran parchear, la organización holandesa dijo.
Siguiendo los ataques, REvil ahora exige un pago de rescate por la cantidad de $70 millones. A cambio del rescate, Los ciberdelincuentes prometen publicar una herramienta de descifrado universal que debería restaurar todos los sistemas dañados por el ransomware..
Según una publicación que la pandilla REvil compartió en su sitio subterráneo de filtración de datos., el ataque a los proveedores de MSP se lanzó en julio 2. Se dice que el ataque infectó a más de un millón de sistemas.. "Si alguien quiere negociar sobre el descifrador universal, nuestro precio es 70,000,000$ en BTC y publicaremos un descifrador público que descifra los archivos de todas las víctimas, para que todos puedan recuperarse del ataque en menos de una hora,” la publicación decía.
Relacionado: Apple apuntado por REvil Gang en un $50 Millones de ataques de ransomware
¿Qué deberían hacer los clientes de Kaseya??
CISA y el FBI publicaron recientemente un aviso, recomendando la descarga del Herramienta de detección Kaseya VSA que analiza un sistema, ya sea servidor VSA o punto final administrado, y determina si existen indicadores de compromiso.
Otras recomendaciones incluyen el empleo de autenticación multifactor en cada cuenta., así como la aplicación de MSA para los servicios de cara al cliente.; la implementación de listas de permisos para limitar la comunicación con capacidades de administración y monitoreo remoto a pares de direcciones IP conocidos, y colocar interfaces administrativas para RMM detrás de una VPN o un firewall en una red de administración dedicada.
Es de destacar que en 2019 la banda de ransomware GandCrab utilizó una vulnerabilidad de hace unos años en un paquete de software utilizado por empresas de soporte de TI remotas para afianzarse en redes vulnerables. La vulnerabilidad se aprovechó para otorgar acceso a redes vulnerables y distribuir la carga útil del ransomware.. El defecto en cuestión afectado el complemento de Kaseya para el software Connectwise Manage, un producto de automatización de servicios profesional para soporte de TI.