Actualidad Info Actualidad

El ciberataque explotó el sistema de actualización de la empresa de software de servicios de TI Kaseya para propagar (y ocultar) el ransomware

El ransomware REvil utiliza el exploit de la cadena de suministro para atacar a cientos de empresas

Redacción Interempresas05/07/2021

Este pasado viernes día 2, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado.

Utilizando un exploit (vulnerabilidad) del servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.

REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes “afiliados” a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afectó a más de 20 pequeñas administraciones locales en Texas. Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:\Program Files\Kaseya\ y similares) están siendo capaces de desplegar un el código ransomware de REvil.

Pico en la telemetría de SophosLab causado por las detecciones de REvil el 2 de julio de 2021, mostrando cientos de detecciones en su punto máximo...
Pico en la telemetría de SophosLab causado por las detecciones de REvil el 2 de julio de 2021, mostrando cientos de detecciones en su punto máximo.

Desde Sophos quieren facilita a continuación información actualizada sobre su alcance y las opiniones de dos de los principales expertos en ciberamenazas de Sophos:

Según Ross McKerchar, VP y director de Seguridad de Información de Sophos, “se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significan más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones".

Por su lado, Mark Loman, drector de Ingeniería de Sophos, comenta: "Sophos está investigando de forma activa el ataque a Kaseya, que vemos como un ataque de distribución de la cadena de suministro. Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sin importar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto, ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida. En otros ataques a gran escala que hemos visto en el sector, como WannaCry, el propio ransomware era el distribuidor; en este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto.

Algunos atacantes de ransomware que han tenido éxito han recaudado millones de dólares en concepto de rescate, lo que les ha permitido comprar exploits de día cero muy valiosos. Ciertos exploits suelen considerarse sólo al alcance de estados-nación. Mientras que los “estados-nación” los utilizarían con moderación para un ataque aislado específico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana.

Un día después del ataque, se hizo más evidente que un afiliado del REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software ofrece un canal de comunicación de alta confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI."

Los operadores de REvil publicaron en su 'Happy Blog' que más de un millón de dispositivos habían sido infectados por la actualización maliciosa...

Los operadores de REvil publicaron en su 'Happy Blog' que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70.000.000 de dólares en bitcoins.

Basado en la inteligencia de amenazas de Sophos, REvil ha estado activo en las últimas semanas, incluyendo el ataque de JBS, y es actualmente la banda de ransomware dominante involucrada en los casos de respuesta a amenazas gestionadas defensivamente de Sophos.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    21/11/2024

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    14/11/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS