Las operaciones oportunistas del ciberdelito parecen haber comenzado a aprovecharse de las más de 1.000 víctimas del ataque de ransomware REvil de 70 millones de dólares contra los clientes del proveedor de servicios gestionados (MSP) de Kaseya, a medida que surge la evidencia de una nueva campaña de spam de malware.
Descubierta por primera vez por investigadores de Malwarebytes, la campaña, que se ha dirigido a algunas organizaciones del Reino Unido, pretende ser un parche para el producto Kaseya VSA afectado que se originó en Microsoft. Incluye un archivo adjunto llamado SecurityUpdates.exe y un enlace que, si se hace clic, suelta Cobalt Strike, para que los atacantes lo utilicen para obtener acceso a la red y los sistemas de su víctima y realizar más ataques propios, posiblemente incluso eliminando otros ransomwares.
A medida que el ataque en curso de Kaseya entra en su quinto día, la aparición de campañas paralelas por parte de actores de amenazas probablemente no asociados con la pandilla REvil y sus afiliados no es una gran sorpresa de ver: es mucho menos probable que los clientes PYME de los MSP afectados tengan tecnología de seguridad adecuada o personal capacitado para protegerse, por lo que representan un objetivo fácil en algunos aspectos.
Mientras tanto, Kaseya comenzó el proceso de poner en línea sus servidores VSA de software como servicio (SaaS) a fines del 6 de julio, configurados con una capa adicional de servicios de seguridad, pero suspendió el encendido a las 3 a.m., hora del Reino Unido, el 7 de julio después de identificar un problema técnico no revelado. La empresa espera poder proporcionar un parche para los servidores VSA en las instalaciones dentro de las 24 horas posteriores a la restauración completa de la operación SaaS, pero claramente esta línea de tiempo ahora se ha deslizado.
Las nuevas medidas de seguridad que está agregando incluyen: la provisión de un centro de operaciones de seguridad independiente (SOC) las 24 horas del día, los 7 días de la semana para cada servidor VSA; una red de entrega de contenido complementario (CDN) con firewall de aplicaciones web (WAF) para cada servidor VSA, incluso para los usuarios locales que deseen participar; y nuevos requisitos en torno a la inclusión de direcciones IP en listas blancas para los clientes que lo hagan. Kaseya dijo que esto reduciría en gran medida el servicio de ataque general al que está expuesto VSA.
En un video recién grabado, el director ejecutivo de Kaseya, Fred Voccola, dijo que la empresa estaba siendo “increíblemente conservadora” sobre el cronograma para la restauración del servicio.
Nuevamente revisó el número de MSP impactados a alrededor de 50, alrededor de 10 menos de lo que se indicó anteriormente. Dijo que el ataque fue manejado “muy bien” por la naturaleza modular de la arquitectura de seguridad de Kaseya, que evitó que se extendiera más allá de VSA, y por el equipo de respuesta rápida de la empresa y el apoyo de las fuerzas del orden externas, el gobierno de Estados Unidos y los investigadores cibernéticos.
Voccola también agradeció a algunos de los competidores de la empresa por las ofertas de ayuda y prometió que el personal de Kaseya, algunos de los cuales dijo que han dormido alrededor de cuatro horas desde el 3 de julio, permanecerán en sus puestos hasta que “todo sea tan perfecto como sea posible”. .
“Cuando sucede algo, se trata de qué tan preparada estaba la organización, qué tan rápido es la organización para admitir que algo sucedió y no tratar de ocultarlo, buscar ayuda de las personas y tratar de concentrarse en los clientes y obtener información de ellos”, dijo. dicho.
“Lo estamos haciendo lo mejor que podemos, lo estamos haciendo con el asesoramiento de las mejores personas del mundo y nuestro compromiso es que seguiremos haciéndolo”.
Voccola se ha negado previamente a comentar si Kaseya ha entrado en negociaciones con REvil, o si planea pagar un rescate a la pandilla, que, como se informó anteriormente, a menudo está dispuesta a negociar pagos sustancialmente más bajos.