REvil ransomware ataca los sistemas utilizando el software de gestión de TI remota de Kaseya


Justo a tiempo para arruinar el fin de semana festivo atacantes de ransomware aparentemente han utilizado Kaseya, una plataforma de software diseñada para ayudar a administrar los servicios de TI de forma remota, para entregar su carga útil. El director de Sophos y hacker ético Mark Loman tuiteó sobre el ataque el día de hoy, y ahora informa que los sistemas afectados requerirán $ 44,999 para ser desbloqueados. Una nota en el sitio web de Kaseya implora a los clientes que apaguen sus servidores VSA por ahora «porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA».

Según un informe de Computadora que suena, el ataque tuvo como objetivo seis grandes MSP y ha cifrado datos de hasta 200 empresas.

A DoublePulsar, Kevin Beaumont ha publicado más detalles sobre cómo parece funcionar el ataque, con el ransomware REvil llegando a través de una actualización de Kaseya y utilizando los privilegios administrativos de la plataforma para infectar sistemas. Una vez que los proveedores de servicios administrados están infectados, sus sistemas pueden atacar a los clientes para los que brindan servicios de TI remotos (administración de red, actualizaciones del sistema y copias de seguridad, entre otras cosas).

En un comunicado, Kaseya dijo El borde que «Estamos investigando un posible ataque contra el VSA que indica que se ha limitado a una pequeña cantidad de nuestros clientes locales». Un aviso afirma que todos sus servidores en la nube están ahora en «modo de mantenimiento», una medida que, según el portavoz, se está tomando debido a una «gran precaución». Más tarde, el viernes por la noche, el CEO de Kaseya, Fred Voccola, emitió un comunicado diciendo que estiman que el número de MSP afectados es menos de 40 y están preparando un parche para mitigar la vulnerabilidad.

El ataque de hoy se ha relacionado con la notoria banda de ransomware REvil (ya vinculada a ataques contra Acer y proveedor de carne JBS a principios de este año), y El record señala que, al recopilar incidentes con más de un nombre, esta puede ser la tercera vez que el software de Kaseya ha sido un vector para sus exploits.

A partir del mediodía (EST / EE. UU.) Del viernes 2 de julio de 2021, el equipo de respuesta a incidentes de Kaseya se enteró de un posible incidente de seguridad relacionado con nuestro software VSA.

Tomamos acciones rápidas para proteger a nuestros clientes:

Apague inmediatamente nuestros servidores SaaS como medida de precaución, aunque no hayamos recibido ningún informe de compromiso de ningún SaaS o clientes alojados;

Notificamos de inmediato a nuestros clientes locales por correo electrónico, avisos en el producto y por teléfono para que apaguen sus servidores VSA para evitar que se vean comprometidos.

Luego, seguimos nuestro proceso de respuesta a incidentes establecido para determinar el alcance del incidente y la medida en que nuestros clientes se vieron afectados.

Contratamos a nuestro equipo interno de respuesta a incidentes y a los principales expertos de la industria en investigaciones forenses para ayudarnos a determinar la causa raíz del problema;

Notificamos a las agencias de seguridad cibernética gubernamentales y policiales, incluidos el FBI y CISA.

Si bien nuestros primeros indicadores sugirieron que solo un número muy pequeño de clientes locales se vieron afectados, adoptamos un enfoque conservador al cerrar los servidores SaaS para asegurarnos de proteger a nuestros más de 36,000 clientes lo mejor que pudimos. Hemos recibido comentarios positivos de nuestros clientes sobre nuestra respuesta rápida y proactiva.

Si bien nuestra investigación está en curso, hasta la fecha creemos que:

Nuestros clientes de SaaS nunca estuvieron en riesgo. Esperamos restablecer el servicio a esos clientes una vez que hayamos confirmado que no están en riesgo, lo que esperamos sea dentro de las próximas 24 horas;

Solo un porcentaje muy pequeño de nuestros clientes se vio afectado; actualmente se estima en menos de 40 en todo el mundo.

Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales que se probará a fondo. Lanzaremos ese parche lo más rápido posible para que nuestros clientes vuelvan a funcionar.

Me enorgullece informar que nuestro equipo tenía un plan para entrar en acción y lo ejecutó perfectamente hoy. Hemos escuchado de la gran mayoría de nuestros clientes que no experimentaron ningún problema, y ​​estoy agradecido con nuestros equipos internos, expertos externos y socios de la industria que trabajaron junto a nosotros para llevar esto rápidamente a un resultado exitoso.

Las acciones de hoy son un testimonio del compromiso inquebrantable de Kaseya de poner a nuestros clientes en primer lugar y brindar el más alto nivel de soporte para nuestros productos.

– Fred Voccola, director ejecutivo de Kaseya

Actualización 2 de julio, 10:40 p.m. ET: Declaración agregada del CEO de Kaseya.





Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad