Más de 1,000 organizaciones diferentes en todo el mundo, incluidas muchas pequeñas y medianas empresas (PYME), permanecen bloqueadas de los sistemas de TI críticos durante 48 horas después de un ataque de ransomware REvil / Sodinokibi contra proveedores de servicios administrados de TI (MSP) orquestado a través de un compromiso. del servicio de monitoreo de red y administración de terminales VSA de Kaseya.
El ataque a la cadena de suministro se desarrolló el viernes 2 de julio antes del fin de semana festivo del 4 de julio en los EE. UU. A las 4 a. M. Hora del Reino Unido del lunes 5 de julio, los centros de datos de software como servicio (SaaS) de Kaseya y los servidores locales de los clientes afectados permanecieron fuera de línea con el objetivo actual de reiniciar los centros de datos en las próximas 24 horas, después de lo cual Kaseya comenzará el proceso de programación de parches para clientes locales.
Aproximadamente una hora antes, los operadores de REvil se atribuyeron el mérito del ataque en un aviso publicado en su sitio web oscuro, conocido como Happy Blog. La pandilla dijo que había infectado un millón de sistemas y exigió un rescate de $ 70 millones en bitcoins para proporcionar un descifrador universal. Dijo que esto permitiría a todos recuperar el acceso a sus sistemas y datos en menos de una hora, aunque es muy poco probable que el proceso sea tan sencillo. Si se paga, el rescate probablemente sería la suma más grande jamás extorsionada por un equipo de ransomware.
Investigadores de Huntress, especialista cibernético de pymes, uno de los primeros en responder “en la escena” el viernes por la noche, dicen que actualmente están rastreando 30 MSP en los EE. UU., Australia, Europa y América Latina que han sido víctimas del ataque. Dijeron que habían confirmado que REvil accedió al servicio VSA de Kaseya explotando una vulnerabilidad de inyección de SQL y confían en que utilizaron un desvío de autenticación para acceder a los servidores.
El ataque también ha atraído la atención de alto nivel, con alertas de varias agencias gubernamentales de todo el mundo, mientras que el presidente de los Estados Unidos, Joe Biden, quien recientemente abordó a Vladimir Putin por el hecho de que las bandas de ransomware aparentemente pueden operar desde Rusia con impunidad, ha anunciado una investigación.
Tiempo lo es todo
Ian Porteous de Check Point, director regional de ingeniería de seguridad para el Reino Unido e Irlanda, dijo que el momento del ataque para que coincidiera con un feriado importante en Estados Unidos fue una elección clara de REvil. “Eligieron el fin de semana porque saben que el personal de TI de la empresa se desconecta y las empresas a menudo están en un equipo esquelético, donde los ojos no miran”, dijo.
“Esto ayuda a los actores de amenazas de varias maneras: permite que el ransomware se implemente por completo antes de que alguien se dé cuenta e induce más pánico durante las operaciones de respuesta si los actores clave dentro del entorno de las víctimas no están disponibles para responder, posiblemente aumentando las posibilidades de que un rescate se pagará la demanda “.
Daños colaterales
Como consecuencia de esto, también es probable que muchas organizaciones acaben de descubrir, o estén a punto de descubrir, que se han convertido en daños colaterales de un ataque que tuvo como objetivo solo una pequeña cantidad de MSP, por lo que la verdadera cantidad de empresas afectadas. casi inevitablemente aumentará desde la estimación actual de alrededor de 1.000.
Entre las empresas que ya se han presentado se encuentra la cadena de supermercados sueca Coop, que no es cliente de Kaseya. La cadena se vio obligada a cerrar cientos de sucursales en Suecia después de que sus sistemas de punto de venta fallaran cuando su proveedor de software fue eliminado en el ataque. En un momento, se vio que algunos de los puntos de venta de la cadena regalaban productos frescos para evitar el desperdicio.
Complejidad de TI
Charl van der Walt, jefe de investigación de seguridad de Orange Cyberdefense, dijo que el ataque de Kaseya fue una consecuencia de la combinación de varios factores diversos que, en conjunto, hacen que tales incidentes sean prácticamente inevitables. De estos, dijo, el más importante es la interdependencia de TI: los sistemas de TI y sus usuarios no operan de forma aislada y, por lo tanto, las infracciones o compromisos en tales casos nunca se limitan al objetivo principal: en este caso, los clientes de Kaseya.
“Simplemente no podemos permitirnos pensar en nuestra propia seguridad como aislada o separada de la seguridad de nuestros proveedores de servicios o productos tecnológicos, o de la miríada de otras entidades comerciales o agencias gubernamentales con las que compartimos tecnología”, dijo van der Walt. “Una dependencia compartida de las tecnologías centrales, los proveedores, los protocolos o los sistemas centrales de Internet, como DNS o CDN, unen a las empresas tan estrechamente como los enlaces de fibra y las redes IP. Las empresas, a su vez, también unen a los proveedores que dependen de ellas, las industrias a las que pertenecen, los países en los que operan y, finalmente, toda la economía mundial.
“Por su propia naturaleza, los ataques a la cadena de suministro brindan al atacante un amplio alcance y escala, incluso si se requieren más recursos y tiempo para perpetrarlos. Por tanto, la frecuencia de estos ataques no es tan importante como su impacto. Dada la persistencia de las fuerzas sistémicas que permiten estos ataques, anticipamos que aumentarán tanto en frecuencia como en impacto ”.
Hitesh Sheth, presidente y director ejecutivo de Vectra AI, dijo que esperaba que el ataque impulsara una discusión sobre los problemas de seguridad cibernética que persiguen el modelo comercial de servicios de TI. “Cuando su empresa depende de un producto como Kaseya VSA, está tan seguro como su proveedor”, dijo. “Cuando más empresas subcontratan funciones críticas a la nube, el caso de Kaseya sugiere un mayor riesgo.
“¿Cuánto comprenden realmente estas empresas sobre la postura de seguridad de sus proveedores? ¿Se hace suficiente hincapié en la detección rápida de ataques? Las respuestas son tan importantes para los clientes como para los propios MSP, porque en una falla de seguridad, son los clientes quienes responden a las demandas de rescate “.
Una advertencia de la historia reciente
Más ampliamente, dijo Sheth, el ataque extendió un patrón claro que las empresas han sido “demasiado lentas para reconocer”.
“Como en el incidente de SolarWinds, REvil se infiltró en un proveedor de servicios conectado a una larga lista de objetivos”, dijo. “Es una forma eficiente de infligir múltiples grupos de daño en un solo golpe. Debido a que SolarWinds tuvo tanto éxito, deberíamos haber visto venir una repetición.
“Ha pasado más de medio año desde que se descubrió el caso de SolarWinds. Desde entonces, ¿cuántas auditorías de seguridad sistemáticas se han realizado de proveedores de servicios administrados y proveedores de SaaS? En un ciberataque exitoso, estas organizaciones se convierten involuntariamente en centros de distribución que causan estragos. Cada incidente como este da una lección, pero tenemos que estar escuchando “.
Apágalo
Mientras tanto, en el caso cada vez más improbable de que su organización esté ejecutando Kaseya VSA, debería cerrarse ahora mismo, aunque probablemente sea demasiado tarde, dijo Porteous, quien agregó: “Use EDR, NDR y otras herramientas de monitoreo de seguridad para verificar la legitimidad de los nuevos archivos en el medio ambiente desde el 2 de julio; consulte con los proveedores de productos de seguridad para verificar que existan protecciones para el ransomware REvil; y si necesita ayuda, llame a un equipo de expertos para que le ayuden a verificar la situación en el medio ambiente “.