Huge ransomware attack hits hundreds of US businesses

Enorme ataque de ransomware afecta a cientos de empresas de EE. UU.

Una papa caliente: Un ataque de ransomware ha afectado a cientos de empresas en los Estados Unidos, en un ataque a la cadena de suministro que tiene como objetivo la plataforma de gestión del sistema VSA de Kaseya (utilizada para la supervisión remota y la gestión de TI). Si bien Kaseya dice que se han alcanzado menos de 40 de los más de 36,000 clientes, apuntar a grandes proveedores de servicios administrados ha dado como resultado un gran número de clientes en el futuro.

Kaseya dice que fueron notificados de un incidente de seguridad alrededor del mediodía del viernes, como resultado, pusieron sus servicios en la nube en modo de mantenimiento y emitieron un aviso de seguridad advirtiendo a todos los clientes con un servidor VSA local que lo apagaran hasta ‘nuevamente, como’ Uno Una de las primeras cosas que hace el atacante es cortar el acceso administrativo al VSA. Kaseya también informó al FBI y al CISA y lanzó su propia investigación interna.

La segunda actualización de la compañía indicó que el cierre de la nube de VSA solo se hizo como precaución y que los clientes que usaban sus servidores SaaS “nunca estuvieron en riesgo”. Sin embargo, Kaseya también dijo que estos servicios permanecerán suspendidos hasta que la compañía determine que es seguro reanudar las operaciones y, en el momento de redactar este informe, la suspensión de la nube de VSA se ha extendido hasta las 9 a.m. ET.

Ataque masivo de ransomware afecta a cientos de empresas de EE. UU.

Cómo se ven los sistemas infectados. Imagen: Kevin Beaumont, vía DoublePulsar

La banda de ransomware REvil parece recibir su carga útil a través de una actualización de software automática estándar. Luego usa PowerShell para decodificar y extraer su contenido mientras elimina simultáneamente muchos mecanismos de Windows Defender, como el monitoreo en tiempo real, la búsqueda en la nube y el acceso controlado a las carpetas (la función anti-ransomware incorporada de Microsoft). Esta carga útil también incluye una versión anterior (pero legítima) de Windows Defender, que se usa como un ejecutable confiable para iniciar una DLL con el cifrador.

Aún no está claro si REvil roba datos de las víctimas antes de activar su ransomware y cifrado, pero se sabe que el grupo lo ha hecho en ataques anteriores.

La escala del ataque aún está en curso; Los ataques a la cadena de suministro como estos que comprometen los eslabones débiles más arriba (en lugar de golpear directamente los objetivos) tienen el potencial de causar estragos a gran escala si esos eslabones débiles se utilizan ampliamente, como el VSA de Kaseya, en este caso. Además, su llegada el fin de semana del 4 de julio parece haber sido programada para minimizar la disponibilidad de personal para hacer frente a la amenaza y ralentizar la respuesta.

1625324226387 Ataque masivo de ransomware afecta a cientos de empresas de EE. UU.

BleepingComputer dijo inicialmente que ocho MSP se vieron afectados y la firma de ciberseguridad Huntress Labs sabía de 200 empresas comprometidas por los tres MSP con los que trabajaba. Sin embargo, más actualizaciones de John Hammond de Huntress muestran que el número de MSP y clientes intermedios afectados es mucho mayor que estos primeros informes y sigue creciendo.

Las demandas han variado enormemente. Destinado a pagarse en criptomoneda Monero, la mayoría de los rescates parecen ser empezar a $ 44,999, pero pueden llegar a $ 5 millones. Del mismo modo, la fecha de vencimiento del pago, después de la cual se duplica el rescate, también parece variar de una víctima a otra.

Por supuesto, es probable que ambas cifras dependan del tamaño y la escala del objetivo previsto. REvil, que según funcionarios estadounidenses tiene vínculos con Rusia, obtuvo 11 millones de dólares de los procesadores de carne de JBS el mes pasado y exigió 50 millones de dólares a Acer en marzo.

Imagen de encabezado: Computadora emitiendo un pitido

Deja una respuesta