Una información señaló que una avalancha de ransomware, posiblemente efectuada por hacker de Kaseya, afectó a cientos de empresas de todo el mundo. Una cadena de supermercados, una emisora pública, escuelas y un sistema ferroviario nacional se vieron afectados por el malware de cifrado de archivos. Esto provocó interrupciones y obligó a cerrar cientos de empresas.
Pero, ¿qué tenían las víctimas en común? Una pieza clave de software de gestión de red y control remoto desarrollado por la firma de tecnología estadounidense Kaseya. La empresa con sede en Miami fabrica software que se utiliza para administrar de forma remota las redes y dispositivos de TI de una empresa. Ese software se vende a proveedores de servicios administrados, departamentos de TI efectivamente subcontratados, que luego utilizan para administrar las redes de sus clientes, a menudo empresas más pequeñas.
Pero se cree que los piratas informáticos asociados con el grupo de ransomware como servicio REvil vinculado a Rusia han utilizado una vulnerabilidad de seguridad nunca antes vista en el mecanismo de actualización del software para enviar ransomware a los clientes de Kaseya, que a su vez se propagan a sus clientes. . Es posible que muchas de las empresas que finalmente fueron víctimas del ataque no supieran que sus redes estaban controladas por el software de Kaseya.
Kaseya advirtió a los clientes el viernes que apagaran «INMEDIATAMENTE» sus servidores en las instalaciones, y su servicio en la nube, aunque no se cree que esté afectado, se desconectó como medida de precaución.
¿En qué países se llevaron a cabo los ataques?
John Hammond, investigador senior de seguridad de Huntress Labs, una empresa de detección de amenazas que fue una de las primeras en revelar el ataque, dijo que unos 30 proveedores de servicios administrados fueron afectados, lo que permitió que el ransomware se extendiera a «más de» 1.000 empresas «. La firma de seguridad ESET dijo que tiene conocimiento de víctimas en 17 países. ¡Cuáles? Reino Unido, Sudáfrica, Canadá, Nueva Zelanda, Kenia, Indonesia, etc.
Ahora se está volviendo más claro cómo los piratas informáticos llevaron a cabo uno de los mayores ataques de ransomware de la historia reciente.
Investigadores holandeses dijeron que encontraron varias vulnerabilidades de día cero en el software de Kaseya como parte de una investigación sobre la seguridad de las herramientas de administrador basadas en la web. (Los días cero se denominan así porque les da a las empresas cero días para solucionar el problema). Los errores se informaron a Kaseya y estaban en proceso de solución cuando los piratas informáticos atacaron, dijo Victor Gevers, quien encabeza el grupo de investigadores en una publicación de blog.
El director ejecutivo de Kaseya, Fred Voccola, dijo a The Wall Street Journal que sus sistemas corporativos no se vieron comprometidos, lo que dio mayor credibilidad a la teoría de trabajo de los investigadores de seguridad de que los servidores administrados por los clientes de Kaseya se vieron comprometidos individualmente mediante una vulnerabilidad común.
La compañía dijo que todos los servidores que ejecutan el software afectado deben permanecer fuera de línea hasta que el parche esté listo. Voccola le dijo al periódico que espera que los parches se publiquen el lunes por la noche.
¿Cuándo se produjo el ataque del hacker de Kaseya a empresas con ransomware?
El ataque del hacker de Kaseya a cientos de empresas con ransomware comenzó a última hora de la tarde del viernes. Aprovecharon que millones de estadounidenses se desconectaban del largo fin de semana del 4 de julio. Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que el ataque fue planeado cuidadosamente.
«No se equivoquen, el momento y el objetivo de este ataque no son una coincidencia. Ilustra lo que definimos como un ataque de caza mayor, lanzado contra un objetivo para maximizar el impacto y las ganancias a través de una cadena de suministro durante un fin de semana festivo cuando las defensas comerciales están bajas», dijo Meyers.
Un aviso publicado durante el fin de semana en un sitio web oscuro que se sabe que es administrado por REvil se atribuyó la responsabilidad del ataque, y que el grupo de ransomware lanzaría públicamente una herramienta de descifrado si se le pagaran $ 70 millones en bitcoins.
:)«Se infectaron más de un millón de sistemas», afirma el grupo en la publicación.