El viernes, una avalancha de ransomware afectó a cientos de empresas de todo el mundo. Una cadena de supermercados, una emisora pública, escuelas y un sistema ferroviario nacional se vieron afectados por el malware de cifrado de archivos, lo que provocó interrupciones y obligó a cientos de empresas a cerrar.
Las víctimas tenían algo en común: una pieza clave de software de gestión de red y control remoto desarrollado por Empresa de tecnología estadounidense Kaseya. La empresa con sede en Miami hace software se utiliza para administrar de forma remota las redes y los dispositivos de TI de una empresa. Ese software se vende a proveedores de servicios administrados, departamentos de TI subcontratados de manera efectiva, que luego utilizan para administrar las redes de sus clientes, a menudo empresas más pequeñas.
Pero se cree que los piratas informáticos asociados con el grupo de ransomware como servicio REvil vinculado a Rusia han utilizado una vulnerabilidad de seguridad nunca antes vista en el mecanismo de actualización del software para enviar ransomware a los clientes de Kaseya, que a su vez se propagan a sus clientes. . Es posible que muchas de las empresas que finalmente fueron víctimas del ataque no supieran que sus redes estaban controladas por el software de Kaseya.
Kaseya advirtió a los clientes el viernes que apagaran “INMEDIATAMENTE” sus servidores en las instalaciones, y su servicio en la nube, aunque no se cree que esté afectado, se desconectó como medida de precaución.
“[Kaseya] mostró un compromiso genuino por hacer lo correcto. Desafortunadamente, REvil nos derrotó en el sprint final “. Investigador de seguridad Victor Gevers
John Hammond, investigador senior de seguridad de Huntress Labs, una empresa de detección de amenazas que fue una de las primeras en revelar el ataque, dijo que unos 30 proveedores de servicios administrados fueron afectados, lo que permitió que el ransomware se extendiera a “más de” 1.000 empresas “. La firma de seguridad ESET dijo que tiene conocimiento de víctimas en 17 países, incluidos el Reino Unido, Sudáfrica, Canadá, Nueva Zelanda, Kenia e Indonesia.
Ahora está cada vez más claro cómo los piratas informáticos llevaron a cabo uno de los mayores ataques de ransomware de la historia reciente.
Investigadores holandeses dijeron que encontraron varias vulnerabilidades de día cero en el software de Kaseya como parte de una investigación sobre la seguridad de las herramientas de administrador basadas en la web. (Los días cero se denominan así, ya que les da a las empresas cero días para solucionar el problema). Los errores se informaron a Kaseya y estaban en proceso de solución cuando los piratas informáticos atacaron, dijo Victor Gevers, quien dirige el grupo de investigadores. en una publicación de blog.
El director ejecutivo de Kaseya, Fred Voccola, dijo El periodico de Wall Street que sus sistemas corporativos no se vieron comprometidos, dando mayor credibilidad a la teoría de trabajo de los investigadores de seguridad de que los servidores administrados por los clientes de Kaseya se vieron comprometidos individualmente utilizando una vulnerabilidad común.
La compañía dijo que todos los servidores que ejecutan el software afectado deben permanecer fuera de línea hasta que el parche esté listo. Voccola le dijo al periódico que espera que los parches se publiquen el lunes por la noche.
El ataque comenzó a última hora de la tarde del viernes, justo cuando millones de estadounidenses se desconectaban del largo fin de semana del 4 de julio. Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que el ataque fue planeado cuidadosamente.
“No se equivoque, el momento y el objetivo de este ataque no son una coincidencia. Ilustra lo que definimos como un ataque de caza mayor, lanzado contra un objetivo para maximizar el impacto y las ganancias a través de una cadena de suministro durante un fin de semana festivo cuando las defensas comerciales están bajas ”, dijo Meyers.
Un aviso publicado durante el fin de semana en un sitio web oscuro que se sabe que es administrado por REvil se atribuyó la responsabilidad del ataque, y que el grupo de ransomware lanzaría públicamente una herramienta de descifrado si se le pagaran $ 70 millones en bitcoins.
“Se infectaron más de un millón de sistemas”, afirma el grupo en la publicación.