Este pasado viernes, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado. Utilizando un exploit (vulnerabilidad) del servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.
REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes “afiliados” a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afectó a más de 20 pequeñas administraciones locales en Texas. Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:Program FilesKaseya y similares) están siendo capaces de desplegar un el código ransomware de REvil.
En palabras de Ross McKerchar, VP y director de Seguridad de Información de Sophos, “se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significa más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones”.
Por su parte, Mark Loman, director de Ingeniería de Sophos, “Los adversarios están utilizando a los MSPs como su método de distribución para sacudir a tantos negocios como sea posible, sin importar el tamaño o el tipo de industria. Se trata de un patrón que estamos empezando a ver, ya que los atacantes están cambiando constantemente sus métodos para obtener el máximo impacto, ya sea para obtener una recompensa económica, robar credenciales de datos y otra información de propiedad que podrían aprovechar más tarde, y en mayor medida. En otros ataques a gran escala que hemos visto en el sector, como WannaCry, el propio ransomware era el distribuidor; en este caso, los MSPs que utilizan una gestión de TI ampliamente utilizada son el conducto”.
Un día después del ataque, se hizo más evidente que un afiliado del REvil Ransomware-as-a-Service (RaaS) aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Normalmente, este software ofrece un canal de comunicación de alta confianza que permite a los MSP un acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI”.