Infectó hasta 1.500 empresas en uno de los peores ataques de ransomware de la historia


La palabra rescate domina un amenazador monitor de computadora rojo.

Hasta 1.500 empresas de todo el mundo han sido infectadas por malware altamente destructivo que afectó por primera vez al fabricante de software Kaseya. En uno de los peores ataques de rescate de la historia, el malware utilizó esta puerta de enlace para matar a los clientes de Kaseya.

El ataque ocurrió el viernes por la tarde en el período previo al fin de semana festivo de tres días del Día de la Independencia en los Estados Unidos. Los piratas informáticos de REvil, una de las bandas de ransomware más vertiginosas, explotaron una vulnerabilidad de día cero en el servicio de administración remota Kaseya VSA, que, según la compañía, es utilizado por 35.000 clientes. Las subsidiarias de REvil luego usaron su control sobre la infraestructura de Kaseya para distribuir una actualización de software malicioso a los clientes, que son principalmente pequeñas y medianas empresas.

Escalada continua

En un comunicado emitido el lunes, Kaseya dijo que alrededor de 50 de sus clientes se han visto comprometidos. A partir de ahí, se infectan de 800 a 1500 empresas dirigidas por clientes de Kaseya. El sitio web de REvil en la web oscura afirmó que más de 1 millón de objetivos se infectaron en el ataque y que el grupo estaba cobrando $ 70 millones por un descifrador universal.

El sitio web de REvil se ha actualizado para eliminar una imagen que supuestamente muestra discos duros con 500 GB de datos bloqueados. Los grupos de ransomware a menudo eliminan información de sus sitios web tan pronto como comienzan las negociaciones de rescate, como muestra de buena fe. Así es como se veía la imagen antes:

Temporada cibernética

«No es una buena señal que una banda de ransomware tenga un día cero en un producto que es ampliamente utilizado por proveedores de servicios administrados y muestre la escalada continua de bandas de ransomware, sobre lo que ya he escrito», investigador de seguridad e investigador independiente Kevin Beaumont escribió.

El ataque masivo tuvo efectos en cascada en todo el mundo. La cadena de supermercados sueca Coop todavía estaba tratando de recuperarse el martes después de cerrar alrededor de la mitad de sus 800 tiendas porque las cajas y las cajas de autoservicio ya no funcionaban. También se vieron afectadas escuelas y jardines de infancia en Nueva Zelanda y algunas oficinas de la administración pública en Rumania. El organismo de control alemán de ciberseguridad BSI anunció el martes que tenía conocimiento de tres proveedores de servicios de TI afectados en Alemania. El siguiente mapa muestra dónde la empresa de seguridad Kaspersky ve infecciones.

Kaspersky

REvil se ha ganado la reputación de ser un grupo despiadado y sofisticado incluso en círculos de ransomware notoriamente descarados. La última víctima de un juego importante fue el gigante de envasado de carne JBS, que cerró gran parte de sus operaciones internacionales en junio después de que el ransomware paralizara sus procesos automatizados. JBS finalmente pagó a los socios de REvil $ 11 millones.

Las víctimas anteriores de REvil incluyen a la multinacional taiwanesa de electrónica Acer en marzo y un intento en abril de chantajear a Apple después de atacar a uno de sus socios comerciales. REvil es también el grupo que hackeó a Grubman Shire Meiselas & Sacks, el destacado bufete de abogados que representaba a Lady Gaga, Madonna, U2 y otros artistas de alto perfil. Cuando REvil pidió 21 millones de dólares a cambio de no revelar los datos, el bufete de abogados supuestamente ofreció 365.000 dólares. REvil respondió aumentando su demanda a $ 42 millones y luego lanzó un archivo de 2.4 GB que contenía algunos de los documentos legales de Lady Gaga.

Otras víctimas de REvil incluyen a Kenneth Copeland, SoftwareOne, Quest y Travelex.

Precisión quirúrgica

El ataque de ese fin de semana se llevó a cabo con una precisión casi quirúrgica. Según Cybereason, las subsidiarias de REvil primero obtuvieron acceso a los entornos de destino y luego usaron el día cero en Kaseya Agent Monitor para obtener control administrativo sobre la red del destino. Después de que el cuentagotas escribió una carga útil codificada en base 64 en un archivo llamado agent.crt, lo ejecutó.

Aquí está el proceso del ataque:

Temporada cibernética

El ransomware dropper Agent.exe está firmado con un certificado en el que Windows confía y que utiliza el nombre del registrante «PB03 TRANSPORT LTD». La firma digital de su malware permite a los atacantes suprimir muchas advertencias de seguridad que de otro modo aparecerían durante la instalación. Según Cybereason, parece que el certificado solo fue utilizado por el malware REvil, que se utilizó en este ataque.

Para agregar camuflaje, los atacantes utilizaron una técnica llamada DLL side-loading, que coloca un archivo DLL malicioso falso en un directorio de Windows WinSxS para que el sistema operativo cargue el archivo falso en lugar del legítimo. En este caso, Agent.exe está lanzando una versión desactualizada que es susceptible a la carga lateral de DLL de msmpeng.exe, el archivo para el ejecutable de Windows Defender.

Una vez ejecutado, el malware cambia la configuración del firewall para que se puedan detectar los sistemas Windows locales. Luego comienza a cifrar los archivos en el sistema y muestra la siguiente nota de rescate:

Temporada cibernética

Kaseya dijo que todos los ataques descubiertos hasta ahora estaban dirigidos a su producto local.

«Todos los servidores VSA locales deben permanecer fuera de línea hasta que Kaseya proporcione más instrucciones sobre cuándo se pueden restaurar las operaciones de manera segura», dijo una recomendación de la compañía. «Antes de reiniciar el VSA, se debe instalar un parche y una serie de recomendaciones para mejorar su estado de seguridad».

La compañía dijo que encontró evidencia de que uno de sus clientes de la nube estaba comprometido.

La subsidiaria de REvil explotó una vulnerabilidad de día cero que Kaseya estaba a días del parche cuando se produjo el ataque. CVE-2021-30116, cómo se rastreó la vulnerabilidad, fue descubierto por investigadores del Instituto Holandés de Divulgación de Vulnerabilidades, que dice que sus investigadores informaron de forma privada la vulnerabilidad y estaban monitoreando el progreso de Kaseya en la aplicación de parches.

Kaseya había «mostrado un compromiso real de hacer lo correcto», escribieron representantes del instituto. «Desafortunadamente, REvil nos derrotó en el último momento porque fueron capaces de explotar los puntos débiles antes de que los clientes pudieran incluso parchear».

El evento es el último ejemplo de un ataque a la cadena de suministro en el que los piratas informáticos infectan al proveedor de un producto o servicio ampliamente disponible con el objetivo de comprometer a los clientes intermedios que lo utilizan. En este caso, los piratas informáticos infectaron a los clientes de Kaseya y luego utilizaron ese acceso para infectar a las empresas que recibieron los servicios de Kaseya.

El compromiso de SolarWinds, descubierto en diciembre, fue otro ataque de este tipo a la cadena de suministro. Aprovechó la infraestructura de compilación de software pirateada por SolarWinds para distribuir una actualización de software malicioso a 18.000 empresas que utilizaban la herramienta de gestión de red de la empresa. Aproximadamente nueve agencias federales y 100 organizaciones privadas recibieron infecciones de seguimiento.

Cualquiera que sospeche que su red se ha visto afectada de alguna manera por este ataque debe investigar de inmediato. Kaseya ha lanzado una herramienta que los clientes de VSA pueden utilizar para detectar infecciones en sus redes. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad han emitido recomendaciones conjuntas para los clientes de Kaseya, especialmente si se han visto comprometidos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *