El grupo de cibercriminales REvil ha utilizado una vulnerabilidad de la cadena de suministro de la empresa de software de servicios de TI Kaseya para atacar durante este fin de semana a 350 organizaciones de todo el mundo para extorsionarlas.

El ciberataque explotó el sistema de actualización de la empresa de software de servicios de TI Kaseya para propagar y ocultar el ‘ransomware’.

Debido a esto, más de 70 proveedores de servicios gestionados se han visto afectados, con más de 350 organizaciones afectadas en todos el mundo, la mayor parte en Estados Unidos, Alemania y Canadá, pero con otras regiones afectadas como Australia y Reino Unido, según la compañía de ciberseguridad Sophos.

Mediante la vulnerabilidad en el servicio de gestión remota VSA de Kaseya, lREvil lanzó un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de Kaseya.

REvil es un ‘ransomware como servicio’ (RaaS), suministrado por grupos de agentes afiliados a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado,

En este brote en particular, los agentes de REvil no solo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya sino que, utilizando las excepciones exigidas por el fabricante para los sistemas de protección (C:\Program Files\Kaseya\ y similares), están siendo capaces de desplegar el código ransomware de REvil.

«Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto», ha afirmado Ross McKerchar, vicepresidente y director de Seguridad de Información de Sophos, que cree que «el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual».

Los operadores de REvil publicaron en su blog que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70 millones de dólares en bitcoins.

Basado en la inteligencia de amenazas de Sophos, REvil ha estado activo en las últimas semanas, incluyendo el ataque contra la compañía cárnica estadounidense JBS, y es actualmente la banda de ‘ransomware’ dominante involucrada en los casos de respuesta a amenazas gestionadas defensivamente de Sophos.

CyberArk destaca que el ciberataque sufrido por Kaseya «es uno de los mayores ataques de ransomware hasta la fecha, ya que por medio de una actualización maliciosa del servicio VSA, el ataque se ha desplegado a la empresa, a los clientes que utilizan la herramienta y a los clientes que reciben los servicios de IT».

Lavi Lazarovitz, director senior de investigación cibernética de CyberArk Labs, opina que “los patrones de ataque de la solución Kaseya VSA recuerdan a la campaña Cloud Hopper». «Con Cloud Hopper, un ataque de phishing en el endpoint llegó a afectar a cientos de empresas que tenían relación con proveedores de nube vulnerados. Si este ataque tiene algún parecido con ejemplos anteriores, debemos recordar que, para los atacantes, se trata de capitalizar la descentralización y la conectividad de la red. ¿Por qué? Porque esto equivale a escala e impacto. Lo más importante es que en el incidente de Kaseya, los atacantes se centran en comprometer el software de confianza, los procesos de confianza y las relaciones de confianza. Dirigirse a servicios de confianza permite a los ciberdelincuentes aprovechar tanto los permisos como los accesos otorgados. En las primeras comunicaciones de Kaseya, la empresa advierte sobre la importancia de apagar los servidores en los que se ejecuta VSA, “porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA”.  Monitorizar y proteger este acceso de administrador, o privilegiado, es fundamental para identificar y mitigar el riesgo de movimiento lateral y un mayor compromiso de la red. En el caso de un MSP, controlar los derechos de administrador significa que los atacantes pueden alcanzar un ataque a gran escala escala, probablemente en cientos de clientes del MSP. Las credenciales privilegiadas continúan siendo el ‘arma preferida’ de los atacantes y se utilizan en casi todos los ataques dirigidos importantes» , aañde este experto.