El ransomware REvil utiliza el exploit de la cadena de suministro para atacar a cientos de empresas
El pasado viernes, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio. Un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado. Utilizando un exploit del servicio de gestión remota VSA de Kaseya. Los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.
REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes «afiliados» a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado. Incluido un brote de ransomware en 2019, que afectó a más de 20 pequeñas administraciones locales en Texas. Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya. Sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:\Program Files\Kaseya\ y similares) están siendo capaces de desplegar el código ransomware de REvil.
Algunos expertos del sector de la ciberseguridad han ampliado los conocimientos acerca del ciberataque de REvil a Kaseya y han añadido su opinión:
Ross McKerchar, VP y Director de Seguridad de Información de Sophos:
«Se trata de uno de los ataques criminales de ransomware de mayor alcance que haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados. Lo que significan más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones».
Mark Loman, Director de Ingeniería de Sophos:
«Estamos investigando de forma activa el ataque a Kaseya, que vemos como un ataque de distribución de la cadena de suministro. Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sin importar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto. Ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida. En otros ataques a gran escala que hemos visto en el sector, como WannaCry, el propio ransomware era el distribuidor; en este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto.
Algunos atacantes de ransomware que han tenido éxito han recaudado millones de dólares en concepto de rescate. Lo que les ha permitido comprar exploits de día cero muy valiosos. Ciertos exploits suelen considerarse sólo al alcance de estados-nación. Mientras que los «estados-nación» los utilizarían con moderación para un ataque aislado específico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana.
Un día después del ataque, se hizo más evidente que un afiliado del REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software ofrece un canal de comunicación de alta confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI.»
Lavi Lazarovitz, director senior de investigación cibernética de CyberArk Labs:
“Los patrones de ataque de la solución Kaseya VSA recuerdan a la campaña Cloud Hopper. Con Cloud Hopper, un ataque de phishing en el endpoint llegó a afectar a cientos de empresas que tenían relación con proveedores de nube vulnerados. Si este ataque tiene algún parecido con ejemplos anteriores, debemos recordar que, para los atacantes, se trata de capitalizar la descentralización y la conectividad de la red. ¿Por qué? Porque esto equivale a escala e impacto. Lo más importante es que en el incidente de Kaseya, los atacantes se centran en comprometer el software de confianza, los procesos de confianza y las relaciones de confianza.
Dirigirse a servicios de confianza permite a los ciberdelincuentes aprovechar tanto los permisos como los accesos otorgados. En las primeras comunicaciones de Kaseya, la empresa advierte sobre la importancia de apagar los servidores en los que se ejecuta VSA, “porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA”. Monitorizar y proteger este acceso de administrador, o privilegiado, es fundamental para identificar y mitigar el riesgo de movimiento lateral y un mayor compromiso de la red. En el caso de un MSP, controlar los derechos de administrador significa que los atacantes pueden alcanzar un ataque a gran escala, probablemente en cientos de clientes del MSP. Las credenciales privilegiadas continúan siendo el ‘arma preferida’ de los atacantes y se utilizan en casi todos los ataques dirigidos importantes».
