Ransomware vulnera Kaseya
Max Heimeneyer, Director de Detección de Amenazas en Darktrace, dijo que “el tipo de ataque lanzado contra Kaseya este fin de semana no es nuevo, pero es devastadoramente efectivo. Al igual que la campaña contra SolarWinds el año pasado, los atacantes comprometieron el software de Kaseya para iniciar un ataque a la cadena de suministro al disfrazar software malicioso (ransomware) como legítimo e implantarlo en terminales / dispositivos de potencialmente miles de empresas.”
“A medida que surgen noticias de que REvil ahora exige un total de $ 70 millones en pago de ransomware, podemos esperar que el debate se centre una vez más en la cuestión de si las demandas de rescate deben cumplirse o no. Esto es inevitable inmediatamente después, pero debemos centrar nuestra atención urgentemente en cómo evitar que los ataques se conviertan en crisis y antes de que se exija el rescate.”
“Este tipo de ataques a la cadena de suministro de software pueden extenderse como la pólvora y son prácticamente imposibles de detectar con las herramientas de seguridad tradicionales porque el proveedor de confianza, pero comprometido, ya está dentro.”
“El efecto de goteo de este ataque indudablemente producirá más víctimas que las que se nombran actualmente, e incluso afectará a organizaciones que no tienen una relación directa con Kaseya. El amplio impacto que tienen estos ataques también significa que es mucho más probable que se reproduzcan.”
“Nuestra dependencia del software se está convirtiendo rápidamente en una debilidad de seguridad importante. Las organizaciones que están construyendo resiliencia de manera efectiva contra los ataques de la cadena de suministro en rápido movimiento son aquellas que aprovechan las tecnologías de autoaprendizaje para identificar continuamente la actividad maliciosa, incluso si se origina fuera de la organización, y responder con una acción quirúrgica proporcionada.”
Por su parte, Ross McKerchar, Vicepresidente y Director de Seguridad de la Información de Sophos, aseguró que “este es uno de los ataques de ransomware delictivos de mayor alcance que Sophos haya visto. En este momento, nuestra evidencia muestra que más de 70 proveedores de servicios administrados se vieron afectados, lo que resultó en más de 350 organizaciones más afectadas. Esperamos el alcance total de víctimas organizaciones por encima de lo que informa cualquier empresa de seguridad individual. Las víctimas abarcan una variedad de ubicaciones en todo el mundo, la mayoría en los Estados Unidos, Alemania y Canadá, y otras en Australia, Reino Unido y otras regiones “.
Mark Loman, Director de Ingeniería de la firma añadió que “Sophos está investigando activamente el atentado a Kaseya, que vemos como un ataque de distribución de la cadena de suministro. Los adversarios están utilizando los MSP como método de distribución para afectar a tantas empresas como sea posible, independientemente del tamaño o el tipo de industria. Este es un patrón que estamos comenzando a ver a medida que los atacantes cambian constantemente sus métodos para lograr el máximo impacto, ya sea para obtener recompensas financieras, robar credenciales de datos y otra información patentada que luego podrían aprovechar. En otros ataques a gran escala que hemos visto en la industria, como WannaCry, el propio ransomware fue el distribuidor; en este caso, los MSP que utilizan una administración de TI ampliamente utilizada son el conducto.
“Algunos atacantes de ransomware exitosos han recaudado millones de dólares en dinero de rescate, lo que potencialmente les permite comprar exploits de día cero de gran valor. Ciertas hazañas generalmente solo se consideran alcanzables por los estados-nación. Donde los “estados-nación” los usarían con moderación para un ataque aislado específico, en manos de los ciberdelincuentes, un exploit para una vulnerabilidad en una plataforma global puede interrumpir muchas empresas a la vez y tener un impacto en nuestra vida diaria.
“Un día después del ataque, se hizo más evidente que un afiliado de REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Por lo general, este software ofrece un canal de comunicación de gran confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI “.
Según la inteligencia de amenazas de Sophos, REvil ha estado activo en las últimas semanas, incluso en el ataque JBS, y actualmente es la banda de ransomware dominante involucrada en los casos de respuesta a “amenaza gestionada defensiva de Sophos”.