Ataque de ransomware afecta a más de 1

Un ataque de ransomware contra el software de una sola empresa está teniendo un efecto en cadena en más de 1,000 organizaciones. El 3 de julio, la empresa de TI empresarial Kaseya reveló un ciberataque exitoso contra su producto VSA, un programa utilizado por proveedores de servicios administrados (MSP) para monitorear y administrar servicios de TI de forma remota para los clientes.

En ese momento, Kaseya afirmó que el incidente solo afectaba a un número muy pequeño de clientes locales. Pero la naturaleza de la cadena de suministro del negocio de Kaseya significa que muchas más empresas ahora se han visto atrapadas en las secuelas del ataque.

Índice de Contenido
  1. El impacto del ataque de ransomware en las organizaciones
  2. El modus operandi del ransomware
  3. Las acciones tomadas por Kaseya
  4. Consejos para las empresas afectadas

El impacto del ataque de ransomware en las organizaciones

Según una nueva publicación en el blog de la empresa de seguridad Huntress, han estado rastreando alrededor de 30 MSP en todo el mundo donde se explotó el VSA de Kaseya para encriptar datos en más de 1,000 empresas. Estas cifras son mayores al informe inicial de Huntress del 3 de julio que señalaba que ocho MSP se vieron afectados, afectando a alrededor de 200 empresas con archivos encriptados. Todos los servidores VSA de los MSP comprometidos están ubicados en las instalaciones.

Las estimaciones de Kaseya sobre las empresas afectadas son aún mayores. En una actualización de su publicación de blog en curso, la compañía dijo que el ataque afectó a menos de 60 clientes, todos los cuales estaban utilizando el producto VSA localmente. Con el efecto en cadena, el impacto total se ha sentido en menos de 1,500 empresas descendentes, según Kaseya.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El modus operandi del ransomware

"No sorprende que los extorsionistas apunten a software de TI crítico que pueda servir como el acceso inicial a las redes de más víctimas", dijo Rick Holland, director de seguridad de la información y vicepresidente de estrategia en el proveedor de protección contra riesgos Digital Shadows. "Los proveedores de servicios administrados (MSP) utilizan el software de Kaseya, lo que los convierte en un objetivo atractivo porque los extorsionistas pueden aumentar rápidamente los posibles objetivos. Además, las empresas que utilizan MSP suelen ser pequeñas y medianas empresas (PYMES) menos maduras, que generalmente tienen programas de seguridad menos maduros".

Como suele ser el caso, el ransomware funciona explotando una vulnerabilidad de seguridad en el software VSA. Específicamente, el ataque aprovecha una vulnerabilidad de día cero etiquetada como CVE-2021-30116, con el payload entregado a través de una actualización falsa de VSA, según Kevin Beaumont del sitio de noticias de ciberseguridad Double Pulsar. Ganando derechos de administrador, el ataque infecta los sistemas de los MSP, que luego infecta los sistemas de los clientes.

Las acciones tomadas por Kaseya

En respuesta al ataque, Kaseya tomó varias acciones. La compañía dijo que cerró inmediatamente sus servidores SaaS como precaución, aunque no había recibido informes de compromiso de ningún cliente de SaaS o alojado. También notificó a sus clientes locales por correo electrónico, avisos en el producto y por teléfono, alertándoles para que apaguen sus servidores VSA.

Además, Kaseya solicitó la ayuda de su equipo interno de respuesta a incidentes, así como de expertos externos en investigaciones forenses para conocer la causa raíz del ataque. Además, la compañía se puso en contacto con las agencias gubernamentales encargadas de la seguridad cibernética, incluido el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

Cómo proteger tu computadora de los virus: métodos y consejos

Consejos para las empresas afectadas

Kaseya, CISA y otras partes han ofrecido rápidamente consejos a las empresas y clientes potencialmente afectados.

  1. Las organizaciones con servidores VSA locales se insta a apagarlos para evitar un mayor compromiso.
  2. Las organizaciones pueden descargar y ejecutar una Herramienta de Detección de Compromisos, que analiza un servidor VSA o un punto final administrado en busca de cualquier indicio de compromiso (IoC). La última versión de esta herramienta también escanea la encriptación de datos y la nota de rescate de REvil. Por lo tanto, incluso las empresas que ya han ejecutado la herramienta deben volver a ejecutarla con esta última versión.
  3. CISA y el FBI aconsejaron a los MSP afectados que habiliten y hagan cumplir la autenticación multifactorial (MFA) en todas las cuentas, habiliten la lista blanca para limitar la comunicación con características de monitoreo y administración remota (RMM) a direcciones IP conocidas, y configuren las interfaces administrativas de RMM detrás de una VPN o un firewall.
  4. Las organizaciones deben asegurarse de que las copias de seguridad estén actualizadas y almacenadas en un lugar accesible aislado de la red principal, adoptar un proceso de administración de parches manuales que siga la guía del proveedor con nuevas actualizaciones instaladas tan pronto como estén disponibles, y utilizar el principio de acceso de privilegios mínimos en cuentas clave de administrador de red.

Por último, las organizaciones afectadas e interesadas deben seguir el blog de ayuda de Kaseya sobre el ataque de ransomware para obtener actualizaciones diarias.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ataque de ransomware afecta a más de 1 , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.