Ciberdelincuencia
Ataque de ransomware a Kaseya
Trend Micro y los clientes de sus partners siguen protegidos mediante múltiples capas de defensa. Explicamos qué ha ocurrido y cómo mantenemos la seguridad de estas organizaciones.
Cómo Trend Micro y sus partners mantuvieron a los clientes a salvo del ataque de ransomware a Kaseya
Uno de los ciberataques más audaces de los últimos años salió a la luz el pasado mes de diciembre, cuando hackers respaldados por el Estado infectaron a los clientes de una empresa de software de TI a través de una actualización maliciosa. El ataque de SolarWinds tuvo como resultado el compromiso de al menos nueve departamentos del gobierno estadounidense. En ese momento, Trend Micro advirtió que esto era solo la punta del iceberg. Por desgracia, teníamos razón. Ahora, potencialmente miles de clientes de otra empresa de software de gestión TI, Kaseya, han experimentado un destino similar.
Mientras las agencias de inteligencia estadounidenses investigan, Trend Micro y los clientes de sus partners siguen protegidos mediante múltiples capas de defensa. Esto es lo que ha ocurrido y cómo mantenemos la seguridad de estas organizaciones.
¿Qué ocurrió?
El ataque se produjo el 2 de julio, justo antes del fin de semana del Día de la Independencia de Estados Unidos, y probablemente fue una estratagema calculada para pillar desprevenidas a las organizaciones y a sus equipos de seguridad informática. Su objetivo era la plataforma VSA de Kaseya, que es utilizada por los clientes MSP para la aplicación de parches automáticos y la supervisión remota de los entornos de sus clientes.
Según los informes, un exploit zero-day permitió a los atacantes saltarse los controles de autenticación, acceder y cargar una carga maliciosa en el sistema y ejecutar comandos mediante inyección SQL. De este modo, fueron capaces de utilizar VSA como arma para introducir un script PowerShell malicioso que cargaba el ransomware REvil en los sistemas de los clientes de los MSP, y en sus clientes a su vez. Como VSA está diseñada para operar con privilegios elevados, la falsa actualización maliciosa "Kaseya VSA Agent Hot-fix" se instaló en todos los sistemas gestionados.
El ransomware Sodinokibi/REvil (detectado como Ransom.Win32.SODINOKIBI.YABGC) deshabilitaba ciertos servicios y terminaba procesos relacionados con software legítimo, incluyendo navegadores y aplicaciones de productividad. También ejecutaba comandos para ocultar su actividad a Microsoft Defender. Kaseya advirtió a los clientes infectados con el ransomware que no hicieran clic en ningún enlace de las comunicaciones de los atacantes, ya que estos también podrían estar armados con malware.
¿Cuál es el impacto?
El grupo REvil, o más bien la filial que ha llevado a cabo este ataque en particular, ha intentado extraer rescates de empresas individuales. También exige 70 millones de dólares en criptomoneda por un "descifrador universal" que, según afirma, funcionará para todas las víctimas.
Kaseya afirma que "menos de 60" de sus clientes MSP locales y alrededor de 1.500 organizaciones secundarias se han visto afectadas. Entre ellas se encuentran organizaciones tan variadas como supermercados suecos, escuelas neozelandesas y empresas de TI holandesas.
Se espera que se despliegue un parche para que los clientes afectados vuelvan a estar online en el transcurso del día.
Cómo le protege Trend Micro
La buena noticia es que el propio ransomware es detectado por las soluciones antimalware de Trend Micro. De hecho, nuestras capacidades de machine learning predictivo y de monitorización del comportamiento detectaban y protegían contra las muestras antes de que se añadieran IOCs específicos al patrón de detección habitual. Esta funcionalidad se incluye en nuestra gama de seguridad Worry-Free, también ofrecida por Vodafone y otros partners para proteger a las pymes de amenazas graves como el ransomware.
Además, Trend Micro está bloqueando activamente varios vectores de infección de dominios maliciosos conocidos que están asociados a la campaña a través de Trend Micro Web Reputation Services (WRS).
Por último, nuestra plataforma Trend Micro Vision One para la detección y respuesta a amenazas, proporciona a los clientes capacidades de detección XDR de productos subyacentes como Apex One. También ayuda a las organizaciones a realizar barridos de IOCs para comprobar si hay actividad maliciosa y mejorar las investigaciones retrospectivas.