Todo lo que debes saber sobre el potente ataque de ransomware a Kaseya
A principios de este mes, un nuevo ataque masivo a la cadena de suministro dominó los titulares. La banda de ransomware REvil atacó a la plataforma de proveedores de servicios administrados (MSP) basada en la nube Kaseya. El ataque impactó tanto a otros MSPs que usaban su software VSA como a sus clientes.
Los MSPs utilizan la herramienta VSA para realizar la administración de parches y la supervisión de clientes para sus clientes.
Al igual que otros ataques a la cadena de suministro, los operadores de ransomware REvil inicialmente comprometieron la infraestructura de Kaseya VSA. Posteriormente lanzaron actualizaciones maliciosas para los servidores locales de VSA para infectar las redes empresariales.
Investigadores de la firma de seguridad Huntress Labs, que comenzaron la investigación poco después del ataque, especularon de inmediato que el ataque afectó a decenas de MSP y cientos de sus clientes. Esto convirtió el incidente en uno de los ataques de ransomware más grandes de la historia.
Los atacantes intentaron maximizar el impacto de su ataque lanzándolo el viernes, antes del feriado del 4 de julio en los Estados Unidos.
En respuesta al ataque, Kaseya cerró su infraestructura de software como servicio (SaaS) y notificó al FBI, que comenzó a investigar el incidente. También se reclutó a expertos del equipo de FireEye Mandiant, junto con otras empresas forenses, para investigar la infracción de seguridad.
Los operadores de ransomware REvil pidieron inicialmente a los propietarios de los sistemas infectados en esta campaña $44,999 en Bitcoin. Más tarde, sin embargo, optaron por una solución diferente y rápida, un solo rescate masivo de $70 millones de todas las víctimas.
Un análisis más profundo del ataque
Los actores de amenazas explotaron una vulnerabilidad día cero en Kaseya VSA identificada como CVE-2021-30116. La disponibilidad de un exploit de día cero en el arsenal de la banda de ransomware demuestra el nivel de sofisticación de sus operaciones.
El investigador Kevin Beaumont notó que una vez que implementaron las actualizaciones maliciosas, lo ciberdelincuentes comenzaron a actuar. Los atacantes también detuvieron el acceso del administrador al VSA y luego agregaron una tarea llamada “Kaseya VSA Agent Hot-fix
“. La actualización maliciosa se envió a los servidores locales utilizados por el MSP, que a su vez entregó el malware a los sistemas de los clientes en forma de una actualización falsa.
Mark Loman, investigador senior de Sophos también realizó algunos descubrimientos. Él reportó que el binario de REvil se subió en una copia legítima de Microsoft Defender antes de copiarlo en C:\Windows\MsMpEng.exe
para iniciar el proceso de cifrado.
Loman también agregó que la cadena de ataque contenía el código de PowerShell que intentaba deshabilitar la función de monitoreo en tiempo real de Microsoft Defender.
John Hammond, un investigador de ciberseguridad en Huntress Labs dijo que Kaseya VSA colocó un archivo agent.crt en la carpeta c:\kworking
. El archivo se distribuyó como una actualización llamada ‘Kaseya VSA Agent Hot-fix
‘. Luego, ejecutaron un comando de PowerShell para decodificar el archivo usando el comando legítimo certutil.exe de Windows y extraer el archivo agent.exe en la misma carpeta.
El archivo agent.exe estaba firmado digitalmente mediante un certificado emitido para “PB03 TRANSPORT LTD” e incluía el cifrador de ransomware de REvil.
Vulnerabilidad 0-day explotada por la banda REvil
Para el vector de ataque inicial, los operadores de REvil aprovecharon una omisión de autenticación en la interfaz web del servidor Kaseya VSA. Esto les permitió obtener una sesión autenticada. Luego, los atacantes cargaron el payload y ejecutaron un comando mediante inyección SQL para implementar las actualizaciones maliciosas.
Los atacantes explotaron una vulnerabilidad 0-day (día cero), identificada como CVE-2021-30116. La mencionada vulnerabilidad fue descubierta por el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD). El DIVD reportó la falla a Kaseya. La compañía estaba probando el parche antes de lanzarlo a los clientes. Sin embargo, los operadores del ransomware REvil explotaron la vulnerabilidad en el ataque masivo de ransomware a la cadena de suministro.
El impacto
Kaseya anunció que menos de 60 de sus clientes y menos de 1,500 negocios se vieron afectados por el ataque.
“Si bien afectó a aproximadamente 50 de los clientes de Kaseya, este ataque nunca fue una amenaza ni tuvo ningún impacto en la infraestructura crítica. Muchos de los clientes de Kaseya son proveedores de servicios administrados que utilizan la tecnología de Kaseya para administrar la infraestructura informática para empresas locales y pequeñas con menos de 30 empleados, como consultorios de dentistas, pequeñas oficinas de contabilidad y restaurantes locales. De las aproximadamente 800,000 a 1,000,000 de empresas locales y pequeñas que gestionan los clientes de Kaseya, solo unas 800 a 1,500 se vieron comprometidas”.
Parte del comunicado publicado por la empresa.
Al momento de escribir este artículo, solo cinco MSPs han revelado públicamente la brecha de seguridad causada por el ataque. Estas empresas son Avtex, Hoppenbrouwers, Synnex, Visma EssCom y VelzArt.
“Durante todo el proceso, Kaseya ha demostrado que estaban dispuestos a poner el máximo esfuerzo e iniciativa en este caso. Kaseya se esforzó tanto para solucionar este problema como para ayudar a sus clientes. Mostraron un compromiso genuino de hacer lo correcto”, afirma una actualización proporcionada por el Instituto Holandés de Divulgación de Vulnerabilidades.
“Desafortunadamente, REvil nos derrotó en el sprint final, ya que pudieron explotar las vulnerabilidades antes de que los clientes pudieran parchear”.
La solución
Kaseya lanzó una actualización de seguridad para corregir las vulnerabilidades de día cero en su software VSA. Tal como te lo dije anteriormente, estas fueron explotadas por la banda de ransomware REvil en un ataque masivo a la cadena de suministro.
La compañía lanzó la versión 9.5.7a de VSA (9.5.7.2994), que corrige las siguientes fallas de seguridad:
- CVE-2021-30116 – una fuga de credenciales y una vulnerabilidad en la lógica empresarial, que se solucionó en la versión 9.5.7
- CVE-2021-30117 – una vulnerabilidad de inyección de SQL, corregida en VSA 9.5.6.
- CVE-2021-30118 – una vulnerabilidad de ejecución remota de código, corregida en VSA 9.5.6.
- CVE-2021-30119 – una vulnerabilidad de secuencias de comandos entre sitios, que se solucionó en la versión 9.5.7
- CVE-2021-30120 – Evasión de la autenticación de 2 factores 2FA, que se resolverá en v9.5.7
- CVE-2021-30121 – una vulnerabilidad de inclusión de archivos locales, corregida en VSA 9.5.6.
- CVE-2021-30201 – una vulnerabilidad de entidad externa XML, corregida en VSA 9.5.6.
Kaseya también recomienda a los clientes que sigan los pasos de la ‘On Premises VSA Startup Readiness Guide‘ antes de instalar las actualizaciones de seguridad. La guía proporciona instrucciones para determinar si sus sistemas ya se han visto comprometidos e incluyen instrucciones sobre cómo limpiarlos.
Para mayor seguridad, Kaseya recomienda reducir la superficie del ataque limitando el acceso a la GUI web de VSA a direcciones IP locales. Esto se puede lograr bloqueando el puerto 443 entrante en el firewall de Internet.
Otras acciones
“Para las instalaciones de VSA On-Premises, hemos recomendado limitar el acceso a la GUI web de VSA a las direcciones IP locales bloqueando el puerto 443 entrante en su firewall de Internet. Algunas integraciones pueden requerir acceso entrante a tu servidor VSA en el puerto 443”, afirma Kaseya.
Una vez instaladas las actualizaciones de seguridad, todas las contraseñas de los usuarios se restablecerán y los usuarios tendrán que elegir nuevas.
La CISA y el FBI también han publicado una guía para las organizaciones afectadas por el ataque a la cadena de suministro. Las agencias estadounidenses están brindando instrucciones a los MSsP afectados y sus clientes sobre cómo verificar su infraestructura en busca de indicadores de compromiso (IOC).
Kaseya también ha lanzado una herramienta de detección que las organizaciones pueden utilizar para determinar si su infraestructura se ha visto comprometida.
“La nueva Herramienta de Detección de Compromisos se lanzó anoche a casi 900 clientes que solicitaron la herramienta”, afirma la empresa.
Los ataques a la cadena de suministro son realmente insidiosos, su detección es compleja y los impactos potenciales sobre las víctimas pueden ser dramáticos. Los ataques de Kaseya podrían considerarse como un estudio de caso. Esto porque el ataque a la cadena de suministro dirigido a los clientes de las organizaciones objetivo amplificó la magnitud de la brecha de seguridad.
Probablemente uno de los mejores enfoques para prevenir ataques a la cadena de suministro implica implementar un modelo de zero-trust dentro de la arquitectura. En el modelo de confianza cero, cada recurso (es decir, una red o un usuario) es una amenaza potencial a la seguridad hasta que se demuestre lo contrario.