in

Qué podemos aprender de los recientes ataques de ransomware


El fabricante de software Kaseya apareció en los titulares a principios de este mes cuando una vulnerabilidad en su software Virtual System Administrator (VSA) provocó una epidemia de ransomware REvil.

Los ataques globales de ransomware están en aumento, siendo los ataques REvil los más comunes. Según el IBM X-Force Threat Intelligence Index de este año, los actores del ransomware REvil ganaron al menos 123 millones de dólares y robaron casi 21,6 terabytes de datos en 2020.

El software de este ataque, utilizado por los proveedores de servicios administrados (MSP) para mantener los entornos de los clientes en su nombre, a menudo se ejecuta en servidores locales proporcionados por Kaseya. Cuando estos servidores se vieron comprometidos con un exploit de día cero, los posteriores ataques de ransomware afectaron a unas 1.500 empresas.

El grupo responsable del ataque solicitó públicamente un rescate de 70 millones de dólares a cambio de una clave de descifrado universal. ¿Cómo surgió este punto?

¿Qué es REvil?

REvil, que es la abreviatura de Ransomware Evil, es un grupo de amenazas que se cree tiene su sede en Rusia. El grupo está detrás de una serie de ataques de ransomware, varios de los cuales han dado lugar a grandes pagos de empresas de alto perfil. REvil es conocido por exigir altos pagos de rescate, a menudo de millones.

REvil tiene otras dos propiedades interesantes.

Primero, el grupo emplea un modelo comercial de Ransomware-as-a-Service (RaaS) en el que proporciona ransomware e infraestructura a los afiliados a cambio de un porcentaje del dinero del rescate pagado. El grupo REvil se enfoca principalmente en escribir y actualizar su software e infraestructura, mientras que sus subsidiarias son responsables de identificar objetivos y llevar a cabo ataques.

En segundo lugar, REvil no se centra únicamente en cifrar los datos de una víctima. El grupo a menudo comienza sus ataques exfiltrando datos confidenciales y solo luego encriptando el entorno. Este enfoque ofrece dos opciones para el rescate:

  1. Un intercambio por REvil no Publique información confidencial en su blog público.
  2. Un intercambio de la clave de descifrado para recuperar el acceso a los archivos cifrados.

Este enfoque de dos vertientes se conoce como el esquema de doble chantaje.

¿Qué le pasó a Kaseya?

El 2 de julio, una subsidiaria de REvil lanzó un ataque de ransomware contra más de 5,000 objetivos en 22 países, comprometiendo con éxito alrededor de 60 MSP. El ataque estaba dirigido a instancias de software VSA conectadas a Internet alojadas en servidores alojados por Kaseya en el sitio para sus clientes de MSP.

El ataque aprovechó las vulnerabilidades de día cero que Kaseya conocía desde abril, cuando el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) informó de siete a través del Programa de Divulgación de Vulnerabilidades (VDP) de Kaseya. Si bien se corrigieron cuatro de estas vulnerabilidades, tres aún estaban pendientes.

Una de las vulnerabilidades restantes permitió a la subsidiaria de REvil eludir la autenticación de Kaseya y obtener acceso al software VSA de un MSP. Luego, el atacante utilizó el acceso privilegiado del software para infectar los entornos de los clientes de MSP con el ransomware REvil.

El sábado 20 de julio, Kaseya lanzó una actualización para abordar las tres vulnerabilidades restantes, cerrando la ventana a otros atacantes que podrían intentar el mismo exploit utilizado en el robo de Kaseya / REvil.

El creciente riesgo de ataques a la cadena de suministro

Para los clientes que no son de Kaseya, estos ataques pueden no parecer más importantes que cualquier otro ataque de ransomware en los últimos meses. Sin embargo, los 60 MSP comprometidos fueron solo el comienzo.

Los MSP utilizan el software Kaseya VSA para gestionar los entornos de sus clientes en su nombre. Los servidores VSA tienen acceso completo a estos entornos. Por lo tanto, una vez que un servidor VSA se ha visto comprometido, se puede usar para comprometer cualquiera de los entornos que administra. Esto es exactamente lo que sucedió: cada servidor VSA comprometido se utilizó para enviar el script malicioso descrito anteriormente a todos los entornos de clientes que administraba.

El resto de la historia es predecible. REvil ransomware cifró todos los sistemas a los que podía acceder.

En una declaración del 6 de julio, Kaseya declaró que «el impacto general hasta ahora afecta a menos de 1.500 empresas de downstream». El grupo REvil ahora afirma que el ataque comprometió más de un millón de sistemas diferentes. Es probable que nunca sepamos el alcance total del ataque o cuántas organizaciones afectadas eligen pagar el rescate.

Este es un ataque de dos fases. La subsidiaria REvil inicialmente apuntó a los MSP que usaban el software VSA de Kaseya. Luego, el grupo usó este acceso para colocar el ransomware REvil en él tu Entornos de clientes. Desde el punto de vista de las víctimas, este incidente fue extremadamente difícil de predecir. No causó una vulnerabilidad en sus programas de seguridad, ni siquiera en el programa de seguridad de su proveedor, fue causado por una debilidad de seguridad de su parte. Proveedor al proveedor.

¿Qué podemos aprender de esto? Al igual que el ataque SolarWinds, el ataque Kaseya subraya la amenaza que representa la cadena de suministro de una empresa. Una empresa puede tener un programa de seguridad muy eficaz, pero aún así ser víctima de un ataque de este tipo debido a una vulnerabilidad en los sistemas de un proveedor.

Protección contra ransomware

Hay varios pasos importantes que las empresas deben tomar para protegerse contra el ransomware. Sobre todo:

  1. Mantenga copias de seguridad externas seguras de todos los sistemas y archivos críticos.
  2. Practique una gestión de vulnerabilidades (VM) eficaz para identificar y corregir rápidamente las vulnerabilidades conocidas en los activos de software.

Estos pasos ayudarán a las empresas a minimizar la posibilidad de verse comprometidas por ransomware y limitar el daño que podría causar. Sin embargo, el ataque Kaseya / REvil muestra que esto puede no ser suficiente para mitigar el riesgo de los tipos modernos de ransomware.

REvil, en particular, es conocido por apuntar a archivos de copia de seguridad utilizando varias técnicas. Para las empresas más pequeñas, prevenir estas técnicas puede no ser realista, lo que hace que los ataques de ransomware sean un riesgo significativo. Al igual que con el ataque de Kaseya, parchear las vulnerabilidades conocidas rápidamente puede no ser siempre suficiente para protegerse contra los ataques de ransomware, especialmente si se dirigen a proveedores.

Hackear la cadena de suministro (en el buen sentido)

Un aspecto positivo del ataque Kaseya / REvil es que destaca el papel de los VDP.

¿Por qué son importantes los VDP? A diferencia de los programas típicos de gestión de vulnerabilidades (VM) que solo conocido Las vulnerabilidades invitan a los piratas informáticos de VDP, a los investigadores de seguridad y a cualquier persona que conozca un problema a buscarlo. desconocido Vulnerabilidades, abuso de la lógica empresarial y exploits encadenados. Se han informado muchas vulnerabilidades de día cero a través de VDP para que las organizaciones puedan solucionarlas de manera proactiva antes de que un actor malintencionado pueda aprovecharlas.

Los VDP son una gran adición a cualquier programa de VM, pero su valor no se detiene ahí. Al hacer negocios con proveedores y socios con VDP activos, una empresa puede reducir su riesgo de ser víctima de amenazas de la cadena de suministro como Kaseya / REvil y SolarWinds al encontrar vulnerabilidades antes de que los atacantes puedan explotarlas. Por esta razón, las organizaciones con visión de futuro y las agencias federales ahora abogan firmemente o se involucran en hacer negocios con proveedores con VDP.

Como precaución adicional, las empresas también pueden exigir a sus proveedores que cuenten con pistas de auditoría. tu Proveedores para estar preparados para la seguridad.

El Departamento de Defensa de EE. UU. Lanzó recientemente el Programa de divulgación de vulnerabilidades de base industrial de defensa (DIB-VDP), una colaboración entre el Centro de delitos cibernéticos del Departamento de Defensa (DC3), el Programa de divulgación de vulnerabilidades de DoD (DoD VDP), la Contrainteligencia de defensa y Agencia de Seguridad (DCSA) y HackerOne. Este programa piloto promueve la ciberseguridad entre los proveedores y contratistas de DIB.

Si bien las organizaciones más pequeñas no pueden exigir a terceros que implementen un VDP, pueden considerar los VDP (y la seguridad en general) al elegir proveedores. Los VDP son una forma eficaz de ampliar los controles de seguridad existentes y minimizar el riesgo de ataques de ransomware.

Para obtener más información sobre HackerOne, VDP y cómo la seguridad asistida por piratas informáticos puede mejorar el perfil de seguridad de su empresa, lea la Guía del CISO para reducir el riesgo mediante la divulgación responsable.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Cómo usar HackerOne y PagerDuty para identificar cuándo las vulnerabilidades requieren acción

Guía completa para la evaluación de vulnerabilidades IA