Este pasado viernes, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado. Utilizando un exploit (vulnerabilidad) del servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.
REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes “afiliados” a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afectó a más de 20 pequeñas administraciones locales en Texas. Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:\Program Files\Kaseya\ y similares) están siendo capaces de desplegar un el código ransomware de REvil.
Desde Sophos, líder global en ciberseguridad de última generación, queremos facilitarte a continuación información actualizada sobre su alcance y las opiniones de dos de los principales expertos en ciberamenazas de Sophos:
Ross McKerchar, VP y Director de Seguridad de Información de Sophos:
“Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significan más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones”.
Mark Loman, Director de Ingeniería de Sophos:
“Sophos está investigando de forma activa el ataque a Kaseya, que vemos como un ataque de distribución de la cadena de suministro. Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sin importar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto, ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida. En otros ataques a gran escala que hemos visto en el sector, como WannaCry, el propio ransomware era el distribuidor; en este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto.
Algunos atacantes de ransomware que han tenido éxito han recaudado millones de dólares en concepto de rescate, lo que les ha permitido comprar exploits de día cero muy valiosos. Ciertos exploits suelen considerarse sólo al alcance de estados-nación. Mientras que los “estados-nación” los utilizarían con moderación para un ataque aislado específico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana.
Un día después del ataque, se hizo más evidente que un afiliado del REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software ofrece un canal de comunicación de alta confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI.”
Los operadores de REvil publicaron en su “Happy Blog” que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70.000.000 de dólares en bitcoins.
Basado en la inteligencia de amenazas de Sophos, REvil ha estado activo en las últimas semanas, incluyendo el ataque de JBS, y es actualmente la banda de ransomware dominante involucrada en los casos de respuesta a amenazas gestionadas defensivamente de Sophos.