Campaña de ransomware: ataques exitosos a través del software Kaseya

Las oleadas de ransomware causan repetidamente millones de daños. Una campaña actual del Grupo REvil utiliza el software Kaseya para ataques. Dr. Tilman Frosch, director general de G DATA Advanced Analytics, responde cinco preguntas y evalúa la situación en Alemania.

La campaña de ransomware de REvil Group está causando sensación a nivel internacional, y una cadena de supermercados completa está cerrada en Suecia. ¿Alemania ya se ha visto afectada?

Se puede suponer que los proveedores de servicios gestionados (MSP) y las empresas de sistemas alemanes también están utilizando el producto afectado. Una parte importante del negocio de Kaseya es permitir que sus clientes integren los productos de Kaseya en sus propios productos y ofertas con su propio nombre. El MSP sabe que está usando Kaseya, lo que no es necesariamente perceptible para los clientes del MSP. Los MSP están obligados urgentemente a informar a sus clientes y también a proporcionar a la BSI una evaluación de los clientes posiblemente afectados con el fin de permitir una mejor evaluación de la situación en el área alemana.

Como en el caso de Solar Winds el año pasado, el punto de partida de los ataques parece ser el software comprometido para la gestión de redes corporativas. ¿Por qué estas soluciones son tan vulnerables a los ataques?

Lo que ha sido claro para nosotros como investigadores de seguridad durante años ha llegado a una mayor conciencia como resultado de tales casos: estas soluciones no son necesariamente más vulnerables que otro software, simplemente se les otorgan altos privilegios y se utilizan ampliamente. Como resultado, ofrecen una gran ventaja para que los atacantes obtengan múltiples cosechas con un solo esfuerzo. Las herramientas para la administración de sistemas de TI están disponibles, por supuesto, pero todos los proveedores de software instalado en las instalaciones asumen este riesgo, como todos deberíamos saber desde NotPetya a más tardar.

En ese momento, los perpetradores utilizaron una actualización de software del software MeDoc, que se usa ampliamente en el área económica de Ucrania, para causar grandes daños. Sería ingenuo asumir que la seguridad de la infraestructura de los proveedores de software puede resistir un ataque dirigido mejor que la de otras empresas de alta tecnología. En el proceso de desarrollo, uno u otro proveedor de software obviamente tiene que ponerse al día en términos de encontrar puntos débiles en su propio código o eliminarlos rápidamente.

Lo que ha sido claro para nosotros como investigadores de seguridad durante años ha llegado a una conciencia más amplia como resultado de tales casos: estas soluciones no son necesariamente más vulnerables que otro software, solo están equipadas con altos privilegios y se utilizan ampliamente. Como resultado, ofrecen una gran ventaja para que los atacantes obtengan múltiples cosechas con un esfuerzo único.

El caso de Kaseya se parece al ataque de SolarWinds, ¿es en detalle?

Los casos parecen similares, pero no están detallados. En SolarWinds, enfrentamos un ataque a la cadena de suministro que introdujo código comprometido. En el caso actual, los atacantes probablemente podrían aprovechar una vulnerabilidad de día cero en el software de Kaseya para obtener acceso a las redes. En el segundo paso, se instaló ransomware y se cifraron los datos.

Según el conocimiento actual, esto es correcto y también una distinción importante. Sin embargo, esto también es un ataque a través de la cadena de suministro. Sobre todo, este ataque es un recordatorio renovado de lo vulnerable que es nuestra sociedad digitalizada si se tira de la palanca en el lugar correcto.

¿Qué medidas deben tomar las empresas que utilizan Kaseya que aún no se hayan visto afectadas?

Asegúrese de que funcionen las copias de seguridad sin conexión, desconecte las instalaciones locales de Kaseya VSA y manténgalas sin conexión hasta nuevo aviso y haga que un proveedor de servicios calificado examine la infraestructura afectada para un ataque exitoso.

Independientemente de la ola actual, el ransomware es una de las mayores amenazas para las empresas. ¿Qué consejos de seguridad deberían implementar las empresas?

Lo que tiene sentido y se puede implementar para una empresa es siempre individual. La seguridad al cien por cien no puede ser el objetivo. Como emprendedores, asumimos riesgos. Es importante tomar estos riesgos de manera informada, calculada y consciente. Una evaluación de seguridad es a menudo el primer paso correcto hacia un concepto adecuado. Sin embargo, hay medidas que en realidad siempre tienen sentido:

  1. Mantenga comprobadas copias de seguridad funcionales fuera de línea,
  2. Proteja el acceso remoto con autenticación de dos factores,
  3. Permita solo macros firmadas en documentos de Office o evite la ejecución de macros por completo,
  4. Elija contraseñas suficientemente largas y complejas,
  5. Prepárese para una emergencia mediante la planificación y la práctica,
  6. Acceso seguro a un proveedor de servicios de respuesta a incidentes con experiencia a través de un acuerdo marco correspondiente,
  7. Invierta en la conciencia de seguridad de sus propios empleados y
  8. En vigilancia de seguridad de su propia infraestructura.

El ransomware no es lo primero que hace un atacante, el ransomware es el último paso en la cadena de explotación. Con una supervisión de seguridad adecuada, puede ver los pasos anteriores y actuar antes de que se cifren sus propios datos. Y, por supuesto, debe seguir utilizando una solución de protección de punto final potente y actualizada y soluciones de puerta de enlace sensatas y no ignorar sus mensajes. No ha cambiado mucho en lo básico.

Enlace:https://www.gdata.de/blog/2021/07/36929-ransomware-kampagne-erfolgreiche-angriffe-ueber-software-kaseya Blog de GDATA