Kaseya: un ataque de ransomware ‘colosal’ paraliza centenares de empresas

Un ataque de ransomware contra la compañía Kaseya ha paralizado las redes de al menos 200 empresas estadounidenses y otras (potencialmente hay 1.000 afectadas) a nivel internacional. Se sospecha que el grupo ruso REvil está detrás de un ataque que firmas de ciberseguridad califican como ‘colosal’.

El Ransomware sigue en la cresta de la ola como la mayor ciberamenaza de la tecnología mundial. El número de víctimas es ya interminable y no hay semana que pase sin que conozcamos un nuevo caso. El que nos ocupa es de los gordos ya que se basa en un ataque de cadena de suministro y ya vimos sus consecuencias en SolarWinds.

Kaseya, de proveedores TI a empresas

Kaseya es una compañía con sede en Miami que ofrece servicios a proveedores de TI, por lo que centenares de empresas dependen de sus soluciones. Vende sus productos a proveedores de servicios administrados (MSP), que a su vez brindan servicios de TI remotos a cientos de empresas de menor tamaño que no tienen los recursos para realizar esos procesos internamente.

Los MSP utilizan la plataforma en la nube VSA de Kaseya para ayudar a administrar y enviar actualizaciones de software a sus clientes, así como para administrar otras cuestiones de los usuarios. El uso generalizado de VSA es exactamente lo que ha permitido a los piratas informáticos explotarlo y supuestamente infectar a multitud de empresas. 

Si bien no está claro la mecánica exacta del ataque o cómo y cuándo ocurrió, los expertos en seguridad informan que el ransomware está afectando no solo a los MSP que usan VSA, sino también a sus clientes. En otras palabras, el ransomware parece haber infectado a cientos de empresas de menor tamaño que dependen de los MSP para el soporte de TI. Es lo que ocurrió en el caso de SolarWinds, con la diferencia del uso de Ransomware para introducir el malware. 

Según Mark Loman, analista de Sophos, el ataque a la cadena de suministro aprovecha Kaseya VSA para implementar una variante del ransomware REvil en el entorno de la víctima, con el binario cargado a través de una aplicación falsa de Windows Defender para cifrar los archivos de las víctimas. El ataque también intenta deshabilitar la monitorización en tiempo real de Microsoft Defender a través de PowerShell, agregó Loman.

El troyano se está distribuyendo en forma de una actualización de seguridad, un «Hot-fix del agente Kaseya VSA«, dicen desde Huntress Labs en una publicación de Reddit que detalla el funcionamiento de la infracción. Todo apunta que los asaltantes han aprovechado un fallo 0-Day de Kaseya VSA para obtener acceso a los sistemas. Sería la primera vez que un grupo de ransomware utiliza un día cero en los ataques.

Brett Callow, un experto en ransomware de la firma de ciberseguridad Emsisoft, dijo que no tenía conocimiento de ningún ataque previo de ransomware a la cadena de suministro a esta escala. Ha habido otros, pero fueron bastante menores, dijo. «Esto es SolarWinds con ransomware».

Brian Honan, un consultor de ciberseguridad irlandés, dijo por correo electrónico el viernes que «este es un ataque clásico a la cadena de suministro en el que los delincuentes han comprometido a un proveedor confiable de empresas y han abusado de esa confianza para atacar a sus clientes».

Kaseya confirmó que había sido «víctima de un ciberataque sofisticado», al tiempo que advierte a los clientes que se abstengan de hacer clic en los enlaces enviados en las comunicaciones con los operadores de ransomware. «Pueden estar armados», advirtió la compañía. La compañía recomienda a las empresas que mantengan todos los servidores VSA locales fuera de línea hasta nuevo aviso y utilicen una herramienta de detección de compromisos que ha puesto a disposición para comenzar el proceso de recuperación.

¿Está detrás REvil?

Todo apunta que este conocido grupo ruso (y vinculado al gobierno ruso) está detrás de un ataque dirigido, de alto nivel y perfectamente planificado. Conocido desde abril de 2019, el grupo realiza ataques directos y también proporciona ransomware como servicio, lo que significa que desarrolla el software paralizante de la red y lo alquila a los llamados ‘afiliados’ que infectan objetivos y ganan el dinero de los «rescates» que piden para descifrar los archivos.

El presidente de Estados Unidos, Joe Biden, ha ordenado a las agencias de inteligencia investigar quién está detrás de un ciberataque que, obviamente, no puede realizar cualquiera. «La idea inicial es que no fue ordenado por el gobierno ruso, pero aún no estamos seguros. Si al final comprobamos que ha sucedido con el conocimiento y/o a consecuencia de Rusia, entonces le dije a Putin que responderemos”, dijo Biden, refiriéndose a una reciente reunión de ambos en Ginebra.

No es casualidad que el incidente haya sucedido antes del fin de semana del 4 de julio, uno de los festivos más importantes de EE.UU., cuando el personal de TI es más escaso. Todo ello confirma la perfecta planificación del ataque a Kaseya que puede haber afectado potencialmente a decenas de proveedores MSP y 1.000 empresas.