Lo que sabemos del ataque de ransomware Kaseya

Kaseya, desarrollador de soluciones de TI para MSP (Managed Service Providers) y clientes empresariales, anunció que había sido víctima de un ciberataque el 2 de julio, durante el fin de semana del Día de la Independencia estadounidense.

Parece que los atacantes han llevado a cabo un ataque de ransomware del tipo supply-chain aprovechando una vulnerabilidad en el software VSA de Kaseya contra múltiples proveedores de servicios gestionados (MSP) y sus clientes.

Según el director general de Kaseya, Fred Voccola, menos del 0.1% de los clientes de la compañía se vieron envueltos en la brecha, pero como sus clientes incluyen a los MSP, esto significa que las empresas más pequeñas también se han visto atrapadas en el incidente.

Las estimaciones actuales sugieren que entre 800 y 1,500 pequeñas y medianas empresas pueden haber sufrido un compromiso de ransomware a través de su MSP.

El ataque recuerda al fiasco de seguridad de SolarWinds, en el que los atacantes consiguieron comprometer el software del proveedor para enviar una actualización maliciosa a miles de clientes.

¿Qué ha sucedido con Kaseya?

El 2 de julio a las 2:00 PM EDT, como informó ZDNet, el CEO de Kaseya, Fred Voccola, anunció “un posible ataque contra VSA que se ha limitado a un pequeño número de clientes locales”.

Al mismo tiempo, por exceso de precaución, Voccola instó a los clientes a apagar inmediatamente sus servidores VSA.

Mientras el equipo de Respuesta a Incidentes de Kaseya investigaba, el proveedor también decidió apagar proactivamente sus servidores SaaS y desconectar sus data centers.

Para el 4 de julio, la compañía había revisado la gravedad del incidente, calificándose como “víctima de un sofisticado ciberataque”.

Los expertos en “cyber forensic” del equipo Mandiant de FireEye, junto con otras empresas de seguridad, han sido llamados para ayudar.

En una actualización del 5 de julio, Kaseya dijo que se ha desarrollado un parche y que se desplegaría primero en los entornos SaaS, una vez que se hayan completado las pruebas y los controles de validación.

El ataque de ransomware, explicado

El FBI describió el incidente de forma sucinta: un “ataque de ransomware a la cadena de suministro aprovechando una vulnerabilidad en el software VSA de Kaseya contra múltiples MSP y sus clientes.”

Huntress ha rastreado 30 MSPs involucrados en la brecha y cree con “alta confianza” que el ataque se desencadenó a través de una vulnerabilidad de bypass de autenticación en la interfaz web de Kaseya VSA.

Según la empresa de ciberseguridad, esto permitió a los atacantes eludir los controles de autenticación, obtener una sesión autenticada, cargar una carga útil maliciosa y ejecutar comandos mediante inyección SQL, logrando la ejecución de código en el proceso.

“Algunas de las funciones de un servidor VSA son el despliegue de software y la automatización de tareas de TI”, señaló Sophos. “Como tal, tiene un alto nivel de confianza en los dispositivos del cliente. Al infiltrarse en el Servidor VSA, cualquier cliente conectado realizará cualquier tarea que el Servidor VSA solicite sin cuestionar. Esta es probablemente una de las razones por las que Kaseya fue el objetivo”.

El ransomware fue empujado a través de una actualización de software automatizada, falsa y maliciosa usando el VSA de Kaseya apodado “Kaseya VSA Agent Hot-fix”.

Demo de REvil ransomware de Sophos
¿Quién se ha visto afectado?

Kaseya dijo que los clientes de SaaS “nunca estuvieron en riesgo” y las estimaciones actuales sugieren que menos de 40 clientes on-premise en todo el mundo han sido afectados.

Sin embargo, hay que tener en cuenta que mientras un pequeño número de clientes de Kaseya puede haber sido infectado directamente, como MSPs, los clientes de las PYMES que dependen de estos servicios podrían verse afectados a su vez.

Según los informes, 800 tiendas de la cadena de supermercados Coop en Suecia tuvieron que cerrar temporalmente al no poder abrir sus cajas registradoras.

Huntress dijo en una explicación de Reddit que se calcula que unas 1,000 empresas han visto cifrados sus servidores y estaciones de trabajo. El proveedor añadió que es razonable sugerir que “miles de pequeñas empresas” pueden haberse visto afectadas.

“Este es uno de los ataques de ransomware criminal de mayor alcance que Sophos ha visto”, comentó Ross McKerchar, vicepresidente de Sophos. “En este momento, nuestras pruebas muestran que más de 70 proveedores de servicios gestionados fueron impactados, lo que resulta en más de 350 organizaciones más impactadas.”

El 6 de julio, la estimación es de entre 50 clientes directos, y entre 800 y 1,500 empresas en la cadena.

Cuando se trata de entornos SaaS, Kaseya dice: “No hemos encontrado pruebas de que ninguno de nuestros clientes SaaS se haya visto comprometido.”

El director general de Kaseya, Fred Voccola, dijo “Desgraciadamente, esto sucedió, y sucede, no significa que esté bien. Sólo significa que es la forma en que el mundo en que vivimos es hoy”.

Fuente: Zdnet

Cyberseguridad Solutions © 2021