Ataque de ransomware liderado por la banda cibernética REvil (Sodikinibi) afecta a 1.500 empresas en todo el mundo

Un gran ataque de ransomware llevado a cabo por la notoria banda cibernética REvil / Sodinikibi al timón, supuestamente pudo haber afectado hasta 200 empresas en Estados Unidos y cerca de 1500 en todo el mundo. Los delincuentes vinculados a Rusia comprometieron un paquete de software de administración de red específico para propagar la amenaza, lo que les permitió llegar a una gran cantidad de proveedores de servicios en la nube.

El software defectuoso en cuestión se llama Virtual System Administrator, o VSA, un sistema de administración y monitoreo remoto desarrollado y comercializado por Kaseya, una empresa privada, que se esfuerza por brindar soluciones de software eficientes y rentables a pequeñas y medianas empresas en todo el mundo. . El malware comenzó a ejecutar ransomware en puntos finales administrados por el paquete local VAS de Kaseya. Como resultado, la escala real de la táctica puede resultar mucho más significativa de lo que esperaban los investigadores de seguridad.

Explotación de software popular para un mayor impacto

Los ataques de ransomware de ese calibre generalmente intentan encontrar fallas de seguridad en programas de software conocidos y ampliamente utilizados, luego explotan esas fallas para plantar el malware más abajo en la cadena de suministro. Sin embargo, este es el primer ataque de ransomware de cadena de suministro a gran escala que hemos observado. Dado el gran número de empresas que utilizan el paquete VSA de Kaseya, no está del todo claro qué porcentaje de sus clientes han sido víctimas del ataque hasta ahora. La administración de Kaseya acaba de emitir un aviso oficial instando a los clientes a cerrar todos sus servidores VSA locales para frenar la propagación del malware. Si bien la empresa ha encontrado menos de sesenta clientes afectados, estos últimos tienen relaciones comerciales con muchas otras empresas en el futuro, lo que eleva el número total de empresas afectadas a una estimación de 1500 o aproximadamente.

En la víspera del 4 de julio: ¿coincidencia o un movimiento calculado?

Los investigadores de seguridad creen que el momento del ataque, el viernes 2 de julio, fue intencional dado que la mayoría de los departamentos comerciales, incluidos los de TI, por lo general han reducido su personal antes y durante los feriados nacionales. John Hammond, de Huntress Labs, quien descubrió el ataque, ha informado de al menos cuatro proveedores de servicios administrados infectados, cada uno de los cuales brinda servicios de hospedaje de infraestructura de TI a muchas otras empresas. El carácter de cadena de suministro del ataque tiene un enorme potencial de daño porque sus víctimas finales son las pequeñas y medianas empresas que dependen por completo de la seguridad de sus proveedores. Una vez que este último ha sufrido una infracción, se propaga como la pólvora entre sus clientes comerciales más abajo en la cadena.

Parches y medidas preventivas (a partir del 6 de julio a las 12:00 p.m.EDT)

Los funcionarios de Kaseya han aconsejado a los clientes afectados que apaguen sus servidores VSA locales hasta nuevo aviso y eviten hacer clic en las URL relacionadas con ransomware, prometiendo desarrollar un parche de seguridad antes de volver a poner los servidores en línea. La compañía hizo lo mismo al poner también fuera de línea su infraestructura VSA SaaS. Si bien los especialistas en seguridad de Kaseya esperan restaurar los servicios SaaS hoy a las 7:00 p.m.EDT, también planean implementar una serie de medidas de seguridad mejoradas para minimizar el riesgo de infecciones futuras. Esas medidas van desde configurar:

• Un centro de operaciones de seguridad (SOC) independiente para monitorear cada servidor VSA
• Una red de entrega de contenido (CDN) adicional con un firewall de aplicaciones web (WAF) correspondiente para cada servidor VSA
• Una herramienta de detección de riesgos para los clientes que deseen probar sus servidores VSA locales en busca de posibles infracciones.
• Un parche para los clientes de VSA locales (ya desarrollado, actualmente en prueba y validación).

Si todo sale según lo planeado, los clientes de VSA de Kaseya podrán poner sus servidores en funcionamiento en las próximas horas.