La cantidad de clientes de proveedores de servicios administrados (MSP) afectados por un ataque de ransomware REvil / Sodinokibi de amplio alcance orquestado a través del producto VSA de Kaseya se ha revisado al alza de alrededor de 40 a alrededor de 60.
El ataque, que se desarrolló el 2 de julio, hasta ahora ha causado molestias a unos 1.500 clientes intermedios, muchos de ellos pequeñas y medianas empresas (PYME) de los MSP afectados.
En una nueva declaración publicada en las últimas 24 horas, Kaseya dijo que no había recibido informes de ningún compromiso adicional para los usuarios de VSA desde el 3 de julio y que no había encontrado evidencia de que ninguno de sus clientes de software como servicio (SaaS) haya sido impactado. Agregó que VSA es el único producto comprometido y que todos sus demás servicios no se ven afectados.
“Nuestro comité ejecutivo se reunió esta tarde [5 July] a las 6.30 pm EDT [11.30pm BST] para restablecer la línea de tiempo y el proceso para que nuestros clientes locales y de SaaS vuelvan a estar en línea ”, dijo la firma.
“El parche para clientes locales se ha desarrollado y actualmente se encuentra en el proceso de prueba y validación. Esperamos que el parche esté disponible dentro de las 24 horas posteriores a la activación de nuestros servidores SaaS “.
Actualmente, Kaseya espera volver a poner en funcionamiento sus servidores SaaS el 6 de julio entre las 7 p.m. y las 10 p.m., hora del Reino Unido, y tomará una decisión final al respecto de manera inminente. Dijo que lanzará VSA con funcionalidad por etapas para recuperar servicios antes, y que la primera versión evitará el acceso a algunas funciones por el momento.
También se ha reunido con las autoridades de EE. UU. Para discutir los requisitos de fortalecimiento de sistemas y redes para clientes locales y de SaaS, y publicará estos requisitos, nuevamente, de manera inminente. Es probable que sea necesario instalar el parche antes de reiniciar. Mientras tanto, todos los servidores VSA locales deben permanecer fuera de línea.
“Nuestros expertos externos nos han advertido que los clientes que experimentaron ransomware y recibieron comunicaciones de los atacantes no deben hacer clic en ningún enlace, ya que pueden estar armados”, agregó.
Hasta ahora, pocos de los clientes de MSP afectados se han identificado, pero Velzart, con sede en Holanda, un proveedor de servicios de nube, TI y redes, ha mantenido a sus clientes informados sobre el progreso de su recuperación a través de su blog.
A finales del lunes 6 de julio, la empresa informó que había reparado técnicamente el 70% de los servidores afectados y los había devuelto al uso del cliente, y esperaba restaurar el resto de su estado de servidores para el miércoles. La firma continuó agradeciendo a sus clientes por su paciencia y comprensión, así como por la asistencia técnica e incluso refrigerios.
A medida que continúa saliendo más información sobre el ataque, ahora se hace evidente que REvil accedió a instancias locales del servidor VSA a través de un día cero recién descubierto, como se reveló anteriormente, probablemente una vulnerabilidad de inyección SQL, y entregó la carga útil del ransomware a través de una actualización automática desplegada disfrazada de agente de gestión.
Como señaló Sophos, entre otros, esto le dio a la banda una cobertura adicional para esquivar las defensas explotando la confianza del cliente en el producto VSA.