🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Ataque de ransomware sin precedentes afectó a cientos de empresas

Un ataque masivo del ransomware REvil está afectando a múltiples proveedores de servicios administrados (MSP) y a más de 1000 de sus clientes. Los ciberdelincuentes han logrado su objetivo a través de un ataque a la cadena de suministro de Kaseya.

El pasado viernes, la banda de ransomware REvil, también conocida como Sodinokibi, atacó a los MSPs con miles de clientes. Esto a través de lo que parece ser un ataque a la cadena de suministro de Kaseya VSA.

Hasta este momento conocemos que 8 grandes MSPs se han visto afectados como parte de este ataque a la cadena de suministro.

Kaseya VSA

Kaseya VSA es una plataforma MSP basada en la nube que permite a los proveedores realizar la administración de parches y el monitoreo de clientes para sus clientes.

John Hammond de Huntress Labs dijo que todos los MSP afectados utilizan Kaseya VSA y que todos sus clientes también están siendo afectados.

“Estamos rastreando 20 MSPs donde se utilizó Kaseya VSA para cifrar más de 1,000 negocios y estamos trabajando en estrecha colaboración con seis de ellos”. John Hammond

John Hammond

Kaseya emitió un  aviso de seguridad  en su sitio de soporte. En el aviso advirtió a todos los clientes de VSA que apagaran inmediatamente su servidor VSA para evitar la propagación del ataque mientras investigaban.

“Estamos experimentando un ataque potencial contra el VSA que se ha limitado a una pequeña cantidad de clientes.

Estamos en el proceso de investigar la causa raíz del incidente con mucha precaución, pero te recomendamos que apagues INMEDIATAMENTE tu servidor VSA hasta que recibas una nueva notificación de nuestra parte.

Es fundamental que hagas esto de inmediato, porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA”.

En un primer momento, Kaseya declaró que desactivaron sus servidores SaaS (software como servicio) y trabajaron con otras empresas de seguridad para investigar el incidente.

La mayoría de los ataques de ransomware a gran escala se llevan a cabo a altas horas de la noche durante el fin de semana. Es decir, cuando hay menos personal para monitorear la red.

Como este ataque ocurrió al mediodía de un viernes, los atacantes probablemente planearon que el tiempo coincidiera con el fin de semana del 4 de julio en los Estados Unidos. En estas fechas es común que el personal tenga un día laboral más corto antes del feriado del día de la independencia.

El ataque de REvil se propagó a través de una actualización automática

Tanto John Hammond de Huntress como Mark Loman de Sophos afirmaron que los ataques a los MSPs eran un ataque a la cadena de suministro a través de Kaseya VSA.

Según Hammond, Kaseya VSA colocó un archivo agent.crt en la carpeta c:\kworking, que se distribuyó como una actualización llamada ‘Kaseya VSA Agent Hot-fix‘.

Luego, se lanzó un comando de PowerShell que primero deshabilitó varias características de seguridad de Microsoft Defender. Por ejemplo, la supervisión en tiempo real, el acceso controlado a las carpetas, el análisis de scripts y la protección de la red.

Luego, se decodificaba el archivo agent.crt utilizando el comando legítimo certutil.exe de Windows. Esto para extraer el archivo agent.exe en la misma carpeta, que luego se inicializaba para comenzar el proceso de cifrado.

Comando de PowerShell para ejecutar el ransomware REvil

El archivo agent.exe está firmado con un certificado de “PB03 TRANSPORT LTD” e incluye “MsMpEng.exe” y “mpsvc.dll” incrustados, siendo la DLL el cifrador de REvil. Cuando se extraen, ‘MsMpEng.exe‘ y ‘mpsvc.dll‘ se colocan en la carpeta C:\Windows.

Archivo agent.exe firmado

MsMPEng.exe es una versión anterior del ejecutable legítimo de Microsoft Defender que se utiliza como LOLBin para iniciar la DLL. Es decir, los dispositivos se cifraron a través de un ejecutable de confianza.

El agent.exe extrae y ejecuta recursos incrustados

Algunas de las muestras agregan claves del Registro de Windows y cambios de configuración a las computadoras infectadas.

Por ejemplo, una muestra de VirusTotal que observamos agrega la HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter para almacenar información de configuración del ataque.

Vitali Kremez de Advanced Intel dijo que otra muestra configura el dispositivo para iniciar REvil en modo seguro con la contraseña predeterminada ‘DTrump4ever‘.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"

Respuesta oficial de Kaseya

El director ejecutivo de Kaseya, Fred Voccola, afirmó el viernes que los atacantes utilizaron una vulnerabilidad en Kaseya VSA y que lanzarían un parche lo antes posible.

“Si bien nuestra investigación está en curso, hasta la fecha creemos que: 

  • Nuestros clientes de SaaS nunca estuvieron en riesgo. Esperamos restablecer el servicio a esos clientes una vez que hayamos confirmado que no están en riesgo. Esperamos sea dentro de las próximas 24 horas; 
  • Solo un porcentaje muy pequeño de nuestros clientes se vio afectado; actualmente se estima en menos de 40 en todo el mundo.  

Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales. Lanzaremos ese parche lo más rápido posible para que nuestros clientes vuelvan a estar en funcionamiento”.

La banda de ransomware exige un millonario rescate

Una muestra del ransomware REvil utilizada en uno de estos ataques se compartió con algunos medios. Sin embargo, desconocemos si esta es la muestra utilizada para cada víctima o si cada MSPs recibió su propia demanda de rescate.

La banda de ransomware está exigiendo un rescate de $5,000,000 para recibir un descifrador de una de las muestras.

Demanda de rescate

Según el CTO de Emsisoft, Fabian Wosar, los clientes de MSP que se vieron afectados por el ataque recibieron una demanda de rescate de $44,999. Es decir, fue una demanda de mucho menor valor.

Si bien sabemos que REvil roba datos antes de implementar el ransomware y cifrar dispositivos, se desconoce si los atacantes exfiltraron algún archivo.

Los MSPs son un objetivo de gran valor para las bandas de ransomware. Esto porque ofrecen un canal fácil para infectar a muchas empresas a través de una sola brecha. Sin embargo, los ataques requieren un conocimiento profundo sobre los MSPs y el software que utilizan.

REvil tiene experiencia atacando a MSPs, ya que tienen un largo historial de dirigirse a estas empresas y al software que utilizan habitualmente.

En junio de 2019, un afiliado de REvil apuntó a algunos MSPs a través de Escritorio remoto. Y, luego utilizó su software de administración para enviar instaladores de ransomware a todos los puntos finales que administraban.

Se cree que este afiliado trabajó anteriormente con GandCrab, quien también realizó con éxito ataques contra MSPs en enero de 2019.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información