馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Todo lo que debes saber sobre el potente ataque de ransomware a Kaseya

A principios de este mes, un nuevo ataque masivo a la cadena de suministro domin贸 los titulares. La banda de ransomware REvil atac贸 a la plataforma de proveedores de servicios administrados (MSP) basada en la nube Kaseya. El ataque impact贸 tanto a otros MSPs que usaban su software VSA como a sus clientes.

Los MSPs utilizan la herramienta VSA para realizar la administraci贸n de parches y la supervisi贸n de clientes para sus clientes.

Al igual que otros ataques a la cadena de suministro, los operadores de ransomware REvil inicialmente comprometieron la infraestructura de Kaseya VSA. Posteriormente lanzaron actualizaciones maliciosas para los servidores locales de VSA para infectar las redes empresariales.

Investigadores de la firma de seguridad Huntress Labs, que comenzaron la investigaci贸n poco despu茅s del ataque, especularon de inmediato que el ataque afect贸 a decenas de MSP y cientos de sus clientes. Esto convirti贸 el incidente en uno de los ataques de ransomware m谩s grandes de la historia.

Los atacantes intentaron maximizar el impacto de su ataque lanz谩ndolo el viernes, antes del feriado del 4 de julio en los Estados Unidos.

En respuesta al ataque, Kaseya cerr贸 su infraestructura de software como servicio (SaaS) y notific贸 al FBI, que comenz贸 a investigar el incidente. Tambi茅n se reclut贸 a expertos del equipo de FireEye Mandiant, junto con otras empresas forenses, para investigar la infracci贸n de seguridad.

Los operadores de ransomware REvil pidieron inicialmente a los propietarios de los sistemas infectados en esta campa帽a $44,999 en Bitcoin. M谩s tarde, sin embargo, optaron por una soluci贸n diferente y r谩pida, un solo rescate masivo de $70 millones de todas las v铆ctimas.

Un an谩lisis m谩s profundo del ataque

Los actores de amenazas explotaron una vulnerabilidad d铆a cero en Kaseya VSA identificada como CVE-2021-30116. La disponibilidad de un exploit de d铆a cero en el arsenal de la banda de ransomware demuestra el nivel de sofisticaci贸n de sus operaciones.

El investigador Kevin Beaumont not贸 que una vez que implementaron las actualizaciones maliciosas, lo ciberdelincuentes comenzaron a actuar.  Los atacantes tambi茅n detuvieron el acceso del administrador al VSA y luego agregaron una tarea llamada “Kaseya VSA Agent Hot-fix“. La actualizaci贸n maliciosa se envi贸 a los servidores locales utilizados por el MSP, que a su vez entreg贸 el malware a los sistemas de los clientes en forma de una actualizaci贸n falsa.

Mark Loman, investigador senior de Sophos tambi茅n realiz贸 algunos descubrimientos. 脡l report贸 que el binario de REvil se subi贸 en una copia leg铆tima de Microsoft Defender antes de copiarlo en C:\Windows\MsMpEng.exe para iniciar el proceso de cifrado.

Loman tambi茅n agreg贸 que la cadena de ataque conten铆a el c贸digo de PowerShell que intentaba deshabilitar la funci贸n de monitoreo en tiempo real de Microsoft Defender.

John Hammond, un investigador de ciberseguridad en Huntress Labs dijo que Kaseya VSA coloc贸 un archivo agent.crt en la carpeta c:\kworking. El archivo se distribuy贸 como una actualizaci贸n llamada ‘Kaseya VSA Agent Hot-fix‘. Luego, ejecutaron un comando de PowerShell para decodificar el archivo usando el comando leg铆timo certutil.exe de Windows y extraer el archivo agent.exe en la misma carpeta.

El archivo agent.exe estaba firmado digitalmente mediante un certificado emitido para 鈥淧B03 TRANSPORT LTD鈥 e inclu铆a el cifrador de ransomware de REvil.

Firma digital en mpsvc.dll

Vulnerabilidad 0-day explotada por la banda REvil

Para el vector de ataque inicial, los operadores de REvil aprovecharon una omisi贸n de autenticaci贸n en la interfaz web del servidor Kaseya VSA. Esto les permiti贸 obtener una sesi贸n autenticada. Luego, los atacantes cargaron el payload y ejecutaron un comando mediante inyecci贸n SQL para implementar las actualizaciones maliciosas.

Los atacantes explotaron una vulnerabilidad 0-day (d铆a cero), identificada como CVE-2021-30116. La mencionada vulnerabilidad fue descubierta por el Instituto Holand茅s de Divulgaci贸n de Vulnerabilidades (DIVD). El DIVD report贸 la falla a Kaseya. La compa帽铆a estaba probando el parche antes de lanzarlo a los clientes. Sin embargo, los operadores del ransomware REvil explotaron la vulnerabilidad en el ataque masivo de ransomware a la cadena de suministro.

El impacto

Kaseya anunci贸 que menos de 60 de sus clientes y menos de 1,500 negocios se vieron afectados por el ataque.

鈥淪i bien afect贸 a aproximadamente 50 de los clientes de Kaseya, este ataque nunca fue una amenaza ni tuvo ning煤n impacto en la infraestructura cr铆tica. Muchos de los clientes de Kaseya son proveedores de servicios administrados que utilizan la tecnolog铆a de Kaseya para administrar la infraestructura inform谩tica para empresas locales y peque帽as con menos de 30 empleados, como consultorios de dentistas, peque帽as oficinas de contabilidad y restaurantes locales. De las aproximadamente 800,000 a 1,000,000 de empresas locales y peque帽as que gestionan los clientes de Kaseya, solo unas 800 a 1,500 se vieron comprometidas鈥. 

Parte del comunicado publicado por la empresa.

Al momento de escribir este art铆culo, solo cinco MSPs han revelado p煤blicamente la brecha de seguridad causada por el ataque. Estas empresas son Avtex, Hoppenbrouwers, Synnex, Visma EssCom y VelzArt.

鈥淒urante todo el proceso, Kaseya ha demostrado que estaban dispuestos a poner el m谩ximo esfuerzo e iniciativa en este caso. Kaseya se esforz贸 tanto para solucionar este problema como para ayudar a sus clientes. Mostraron un compromiso genuino de hacer lo correcto鈥, afirma una actualizaci贸n proporcionada por el Instituto Holand茅s de Divulgaci贸n de Vulnerabilidades.

“Desafortunadamente, REvil nos derrot贸 en el sprint final, ya que pudieron explotar las vulnerabilidades antes de que los clientes pudieran parchear”.

La soluci贸n

Kaseya lanz贸 una actualizaci贸n de seguridad para corregir las vulnerabilidades de d铆a cero en su software VSA. Tal como te lo dije anteriormente, estas fueron explotadas por la banda de ransomware REvil en un ataque masivo a la cadena de suministro.

La compa帽铆a lanz贸 la versi贸n 9.5.7a de VSA (9.5.7.2994), que corrige las siguientes fallas de seguridad:

  • CVE-2021-30116 鈥 una fuga de credenciales y una vulnerabilidad en la l贸gica empresarial, que se solucion贸 en la versi贸n 9.5.7
  • CVE-2021-30117 鈥 una vulnerabilidad de inyecci贸n de SQL, corregida en VSA 9.5.6.
  • CVE-2021-30118 鈥 una vulnerabilidad de ejecuci贸n remota de c贸digo, corregida en VSA 9.5.6.
  • CVE-2021-30119 鈥 una vulnerabilidad de secuencias de comandos entre sitios, que se solucion贸 en la versi贸n 9.5.7
  • CVE-2021-30120 鈥 Evasi贸n de la autenticaci贸n de 2 factores 2FA, que se resolver谩 en v9.5.7
  • CVE-2021-30121 鈥 una vulnerabilidad de inclusi贸n de archivos locales, corregida en VSA 9.5.6.
  • CVE-2021-30201 鈥 una vulnerabilidad de entidad externa XML, corregida en VSA 9.5.6.

Kaseya tambi茅n recomienda a los clientes que sigan los pasos de la ‘On Premises VSA Startup Readiness Guide‘ antes de instalar las actualizaciones de seguridad.聽La gu铆a proporciona instrucciones para determinar si sus sistemas ya se han visto comprometidos e incluyen instrucciones sobre c贸mo limpiarlos.

Para mayor seguridad, Kaseya recomienda reducir la superficie del ataque limitando el acceso a la GUI web de VSA a direcciones IP locales. Esto se puede lograr bloqueando el puerto 443 entrante en el firewall de Internet.

Otras acciones

鈥淧ara las instalaciones de VSA On-Premises, hemos recomendado limitar el acceso a la GUI web de VSA a las direcciones IP locales bloqueando el puerto 443 entrante en su firewall de Internet. Algunas integraciones pueden requerir acceso entrante a tu servidor VSA en el puerto 443鈥, afirma Kaseya. 

Una vez instaladas las actualizaciones de seguridad, todas las contrase帽as de los usuarios se restablecer谩n y los usuarios tendr谩n que elegir nuevas.

La CISA y el FBI tambi茅n han publicado una gu铆a para las organizaciones afectadas por el ataque a la cadena de suministro. Las agencias estadounidenses est谩n brindando instrucciones a los MSsP afectados y sus clientes sobre c贸mo verificar su infraestructura en busca de indicadores de compromiso (IOC).

Kaseya tambi茅n ha lanzado una herramienta de detecci贸n  que las organizaciones pueden utilizar para determinar si su infraestructura se ha visto comprometida.

鈥淟a nueva Herramienta de Detecci贸n de Compromisos se lanz贸 anoche a casi 900 clientes que solicitaron la herramienta鈥, afirma la empresa.

Los ataques a la cadena de suministro son realmente insidiosos, su detecci贸n es compleja y los impactos potenciales sobre las v铆ctimas pueden ser dram谩ticos. Los ataques de Kaseya podr铆an considerarse como un estudio de caso. Esto porque el ataque a la cadena de suministro dirigido a los clientes de las organizaciones objetivo amplific贸 la magnitud de la brecha de seguridad.

Probablemente uno de los mejores enfoques para prevenir ataques a la cadena de suministro implica implementar un modelo de zero-trust dentro de la arquitectura. En el modelo de confianza cero, cada recurso (es decir, una red o un usuario) es una amenaza potencial a la seguridad hasta que se demuestre lo contrario.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n