La empresa de tecnología estadounidense Kaseya, que lucha contra el mayor impacto de ransomware en la cadena de suministro en su producto VSA local hasta la fecha, descartó la posibilidad de que su código base sea manipulado para distribuir malware.

Si bien los informes iniciales generaron especulaciones de que REvil, la pandilla de ransomware detrás del ataque, podría obtener acceso a la infraestructura de back-end de Kaseya y explotarla para implementar actualizaciones maliciosas en los servidores VSA que se ejecutan en las instalaciones del cliente, en un modus operandi similar al destructivo SolarWinds. hack, desde entonces resultó que se utilizó una vulnerabilidad de seguridad nunca antes vista (CVE-2021-30116) en el software para hacer cumplir a los clientes de ransomware Kaseya.

«Los atacantes pudieron explotar las vulnerabilidades de día cero en VSA para eludir la autenticación y ejecutar la ejecución de comandos arbitrarios», dijo la compañía con sede en Miami en un análisis de incidentes. «Esto ha permitido a los atacantes aprovechar la funcionalidad VSA estándar para implementar ransomware en los puntos finales. No hay evidencia de que el código base de Kaseya VSA se haya modificado intencionalmente».

En otras palabras, si bien la explotación exitosa de día cero del software Kaseya VSA no constituye en sí misma un ataque a la cadena de suministro, usar este abuso para comprometer a los proveedores de servicios administrados (PYME) e interrumpir a sus clientes sería un ataque único.

Sin embargo, no está claro cómo los piratas informáticos se enteraron de la vulnerabilidad. Los detalles de estas deficiencias aún no se han hecho públicos, aunque Huntress Labs ha revelado que «los ciberdelincuentes han explotado la vulnerabilidad de la carga de archivos arbitrarios y la incrustación de código y están muy seguros de que se ha utilizado una omisión de autenticación para obtener acceso a estos servidores».

Según Fred Voccola, director ejecutivo, el ataque de ransomware paralizó a unas 60 pymes y 1500 negocios intermedios en todo el mundo, la mayoría de los cuales eran pequeñas empresas como consultorios dentales, estudios de arquitectura, centros de cirugía plástica y bibliotecas.

Los piratas informáticos REvil ransomware-as-a-service (RaaS), afiliados a Rusia, originalmente exigieron $ 70 millones en bitcoins para lanzar una herramienta de descifrado para recuperar datos de todas las empresas afectadas, aunque lo hicieron rápidamente. reducido el precio de venta a $ 50 millones, lo que indica una voluntad de negociar sus reclamaciones a cambio de una cantidad menor.

«REvil ransomware se ha anunciado en foros clandestinos durante tres años y es una de las operaciones RaaS más fructíferas», dijeron el lunes los investigadores de Kaspersky, y agregaron que «la pandilla ganó más de $ 100 millones con sus operaciones en 2020».

La cadena de ataque funcionó al implementar primero un cuentagotas malicioso a través de un script de PowerShell que se ejecutó a través del software VSA de Kaseya.

«Este script deshabilita la característica de protección de Microsoft Defender para Endpoint y luego usa la utilidad certutil.exe para decodificar un archivo ejecutable malicioso (agent.exe), que descarta el archivo binario legítimo de Microsoft (MsMpEng.exe, versiones anteriores de Microsoft Defender) y la biblioteca maliciosa (mpsvc .dll), que es un ransomware REvil. Luego, el MsMpEng.exe legítimo carga esta biblioteca utilizando la técnica de carga lateral de DLL «, agregaron los investigadores.

El incidente también llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a ofrecer pautas de mitigación y pedir a las empresas que habiliten la autenticación multifactor, limiten las comunicaciones de administración y monitoreo remoto (RMM) a pares de direcciones IP conocidas y coloquen una interfaz administrativa. RMM detrás de una red privada virtual (VPN) o firewall en una red administrativa dedicada.