[05/07/2021] Más de mil empresas de todo el mundo se han visto afectadas por un ataque a la cadena de suministro en el que los hackers explotaron una vulnerabilidad en una herramienta de gestión remota de computadoras llamada Kaseya VSA para desplegar el ransomware REvil. Kaseya cerró su servicio basado en la nube e instó a todos los usuarios con despliegues en las instalaciones, lo que incluye a muchos proveedores de servicios gestionados (MSP), a apagar inmediatamente sus servidores vulnerables hasta que se publique un parche.
No es la primera vez que los ciberdelincuentes y las bandas de ransomware apuntan a los MSP como una forma fácil de acceder a las redes corporativas. Defenderse contra este vector de ataque no es fácil para muchas organizaciones, ya que la subcontratación de la administración de TI significa dar a los MSP acceso altamente privilegiado a sus redes y sistemas.
El impacto del ataque a Kaseya VSA
El ataque dirigido a los servidores de Kaseya VSA comenzó alrededor del mediodía del viernes en los Estados Unidos. Es posible que se haya programado intencionadamente antes de un fin de semana festivo importante, porque los atacantes esperaban que los equipos de seguridad tardaran en responder.
"Solo un porcentaje muy pequeño de nuestros clientes se vio afectado -actualmente se estima que menos de 40 en todo el mundo", dijo Kaseya en un aviso. "Creemos que hemos identificado el origen de la vulnerabilidad, y estamos preparando un parche para mitigarla para nuestros clientes locales que será probado a fondo. Lanzaremos ese parche lo antes posible para que nuestros clientes vuelvan a funcionar".
La compañía también cerró la versión SaaS de VSA, pero señaló que los clientes de su servicio alojado en la nube nunca estuvieron en riesgo. Kaseya VSA es una solución de monitorización y gestión remota de TI (RMM) que es utilizada por los administradores de TI y de red para automatizar la aplicación de parches en puntos finales y servidores, gestionar las copias de seguridad y los despliegues de antivirus, automatizar otros procesos de TI y resolver y solucionar problemas de TI de forma remota. Para poder realizar todas estas tareas, el software VSA de Kaseya opera con acceso de nivel de administrador.
Según Kaseya, su solución RMM tiene más de 36 mil usuarios, por lo que menos de 40 clientes afectados podría parecer un número pequeño. Sin embargo, según informes de terceros, muchos de esos clientes afectados eran MSPs que utilizan Kaseya VSA para gestionar los sistemas y redes de cientos de empresas.
"Estamos rastreando ~30 MSPs a través de los Estados Unidos, AUS, EU y LATAM donde Kaseya VSA fue usado para encriptar más de mil negocios y estamos trabajando en colaboración con muchos de ellos", indicó John Hammond, un investigador de seguridad senior en el proveedor de detección y respuesta a amenazas administradas Huntress en una publicación de blog. "Todos estos servidores VSA están en las instalaciones, y Huntress ha confirmado que los ciberdelincuentes han explotado una vulnerabilidad SQLi y tienen una alta confianza en que se utilizó un bypass de autenticación para acceder a estos servidores".
Kaseya estaba trabajando en la corrección de las fallas
Según el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD), una organización centrada en la divulgación responsable de vulnerabilidades cuyos miembros son investigadores de seguridad voluntarios, reveló durante el fin de semana que varios de las fallas de día cero utilizadas en el ataque ya habían sido encontrados por uno de sus investigadores y habían sido comunicados a Kaseya, que estaba en proceso de desarrollar parches para ellos.
"Durante todo el proceso, Kaseya ha demostrado que estaba dispuesta a poner el máximo esfuerzo e iniciativa en este caso, tanto para arreglar este problema como para parchear a sus clientes", anotó el investigador Victor Gevers, que actúa como presidente y jefe de investigación de DIVD, en una entrada de blog. "Mostraron un compromiso genuino para hacer lo correcto. Desgraciadamente, fuimos derrotados por REvil en el sprint final, ya que pudieron explotar las vulnerabilidades antes de que los clientes pudieran parchear".
Según Gevers, los investigadores de la DIVD analizaron el VSA de Kaseya como parte de un esfuerzo más amplio para investigar las vulnerabilidades en las herramientas utilizadas para la administración y la seguridad del sistema e identificar los sistemas expuestos públicamente que ejecutan el software afectado. La DIVD ha estado trabajando con los CERTS nacionales y otros socios para identificar y contactar a los usuarios con servidores Kaseya VSA expuestos públicamente, y observó que el número de instancias expuestas públicamente se redujo de 2.200 a menos de 140.
Hasta que los parches estén listos, Kaseya aconseja a los clientes que no vuelvan a encender sus servidores VSA locales. Sin embargo, la compañía ha liberado una Herramienta de Detección de Compromisos que puede ser usada para escanear un servidor VSA o un punto final administrado por Kaseya en busca de señales de compromiso después de este ataque.
¿Qué es REvil y cómo se despliega?
REvil, también conocido como Sodinokibi, es una amenaza de ransomware que apareció en abril del 2019 y cobró importancia después de que otra banda de RaaS llamada GandCrab cerrara su servicio. REvil funciona como una plataforma de ransomware como servicio en la que el grupo que está detrás depende de socios llamados afiliados para distribuirlo a cambio de una parte de los pagos de rescate. Durante el año pasado, REvil fue una de las cepas de ransomware más comunes operadas manualmente que infectaron las redes corporativas. Dado que el malware es distribuido por diferentes afiliados, el vector de acceso inicial varía, así como las acciones realizadas por los atacantes dentro de las redes.
Según el investigador de seguridad, Kevin Beaumont, una vez que los atacantes obtienen acceso a una instancia de Kaseya VSA explotando las vulnerabilidades de día cero, inmediatamente desactivan el acceso legítimo del administrador al software para evitar que el ataque se detenga. Luego configuran una tarea llamada "Kaseya VSA Agent Hot-fix" para empujar una falsa actualización del agente de Kaseya a los sistemas administrados a través del software.
"Esta actualización del agente de gestión es en realidad el ransomware REvil", señaló. "Para ser claros, esto significa que las organizaciones que no son clientes de Kaseya seguían siendo encriptadas".
El despliegue de esta actualización maliciosa se ve favorecido por el hecho de que la documentación de Kaseya aconseja a los clientes excluir de los escaneos antivirus las carpetas donde se instalan el agente de gestión remota VSA y sus componentes.
Una vez instalado, el ransomware REvil ejecuta un comando PowerShell que desactiva varias características importantes de Microsoft Defender for Endpoint: Supervisión en tiempo real, IPS, búsqueda en la nube, escaneo de scripts, acceso controlado a carpetas (prevención de ransomware), protección de red y envío de muestras a la nube. El malware también intenta manipular productos antivirus de otros proveedores, incluido Sophos, y desactiva varios sistemas de copia de seguridad.
El sitio web del rescate está alojado en la red Tor y la moneda del rescate es Monero (XMR). Una captura de pantalla compartida por el analista de malware de HitmanPro, Mark Loman, muestra una cantidad de rescate de 50 mil dólares, pero hay informes de peticiones de rescate de cinco millones de dólares asociados a este ataque. Es habitual que las bandas de ransomware ajusten el tamaño del rescate en función de lo que perciben que son los ingresos anuales de la víctima.
Los MSP y las herramientas de gestión remota no son un nuevo objetivo
Los ataques contra los MSP y el software de gestión que utilizan, como Kaseya, no son una novedad. En enero del 2018, la firma de seguridad eSentire informó que varios de sus clientes fueron atacados a través de una vulnerabilidad en Kaseya VSA con el objetivo de desplegar malware de minería de criptomonedas en sus sistemas. Kaseya publicó posteriormente un parche para solucionar la vulnerabilidad.
En agosto del 2019, un afiliado de REvil logró comprometer un MSP con sede en Texas llamado TSM Consulting Services y desplegó ransomware a sus clientes, que incluían 22 municipios en Texas. A principios de ese año, los grupos de ransomware explotaron una antigua vulnerabilidad en la integración de ConnectWise ManagedITSync, una utilidad diseñada para sincronizar datos entre el ConnectWise Manage PSA y el Kaseya VSA RMM, para comprometer a los MSP. Según un informe de la firma de seguridad Armor Defense, 13 MSP y proveedores de servicios en la nube fueron atacados en el 2019, lo que llevó a que sistemas pertenecientes a municipios, distritos escolares y empresas privadas fueran infectados con ransomware.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú