El personal de Kaseya dio la alarma sobre las fallas de seguridad durante años antes del ataque de ransomware

Imagen del artículo titulado El personal de Kaseya dio la alarma sobre las fallas de seguridad durante años antes del ataque de ransomware

Foto: Jack Guez (imágenes falsas)

Los empleados advirtieron a los superiores de Kaseya durante años sobre fallas de seguridad críticas en su software, pero sus preocupaciones fueron ignoradas, dijeron ex trabajadores. Bloomberg. Varios empleados renunciaron frustrados o fueron despedidos después de hacer sonar repetidamente la alarma sobre fallas en las prácticas de ciberseguridad de la empresa de TI. Ahora, Kaseya está en el centro de un ataque masivo de ransomware que ha atrapado a más de 1.000 empresas en todo el mundo.

Entre 2017 y 2020, los empleados informaron a sus superiores de “preocupaciones de ciberseguridad de amplio alcance”, alegando que Kaseya usaba código desactualizado, implementaba un cifrado deficiente y no parcheaba de forma rutinaria su software y servidores, informa Bloomberg. Eso es según cinco ex empleados de Kaseya que hablaron con el medio bajo condición de anonimato porque habían firmado acuerdos de no divulgación o temían represalias.

Dos ex empleados dijeron que advirtieron a los ejecutivos sobre vulnerabilidades en su anticuado software Virtual System Administrator, el sistema que los hackers secuestraron para lanzar este último ataque, que supuestamente estaba tan plagado de problemas que querían que lo reemplazaran. Los clientes de Kaseya, empresas conocidas como proveedores de servicios administrados o MSP, brindan servicios de TI remotos a cientos de empresas más pequeñas y utilizan servidores VSA para administrar y enviar actualizaciones de software a estos clientes.

De acuerdo a informes iniciales, los piratas informáticos obtuvieron acceso a la infraestructura de backend de Kaseya para enviar malware disfrazado de actualización de software a los servidores VSA que se ejecutan en las instalaciones del cliente. A partir de ahí, utilizaron la actualización maliciosa para instalar ransomware en cada estación de trabajo conectada a los sistemas VSA. REvil, la banda de ransomware vinculada a Rusia tomado crédito por este ataque y solicita un rescate de $ 70 millones para desbloquear todas las computadoras afectadas.

Un exempleado le dijo a Bloomberg que en 2019 envió a los altos mandos de Kaseya un memorando de 40 páginas en el que describía sus preocupaciones de seguridad, uno de los varios intentos que hizo durante su mandato para convencer a los líderes de la empresa de que abordaran esos problemas. Fue despedido dos semanas después, una decisión que cree que estuvo relacionada con estos esfuerzos, dijo en una entrevista con el medio. Otros renunciaron por frustración después de que Kaseya pareció centrarse en implementar nuevas funciones de productos en lugar de abordar las vulnerabilidades existentes.

Otro ex empleado afirmó que Kaseya almacenaba contraseñas de clientes sin cifrar en plataformas de terceros y rara vez parcheaba su software o servidores. Cuando la compañía comenzó a despedir empleados en 2018 para subcontratar sus trabajos a Bielorrusia, cuatro de los cinco trabajadores con los que habló Bloomberg dijeron que veían esta decisión como un posible riesgo de seguridad dado Influencia de Rusia por todo el pais.

El software de Kaseya incluso había sido explotado en ataques de ransomware antes, al menos dos veces entre 2018 y 2019, según los empleados. Desconcertantemente, eso todavía no fue suficiente para convencerlos para repensar su estándares de ciberseguridad.

Cuando se le contactó para comentar sobre estas afirmaciones de sus ex empleados, Kaseya proporcionó la siguiente declaración a Gizmodo:

“El enfoque de Kaseya está en los clientes que se han visto afectados y las personas que tienen datos reales y están tratando de llegar al fondo, no en la especulación aleatoria de ex empleados o del mundo en general”.

No obstante, los piratas informáticos han aprovechado vulnerabilidades similares a las descritas aquí para lanzar ataques a gran escala antes, por lo que las afirmaciones de los empleados no son tan difíciles de creer. En diciembre, SolarWinds fue también apuntado en un ataque a la cadena de suministro, también conocido como cuando los piratas informáticos explotan las vulnerabilidades de seguridad entre los proveedores de software de terceros para apuntar a sus clientes. Hasta 18.000 de sus clientes se vieron comprometidos, incluidas muchas de las principales agencias y empresas federales de EE. UU.

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.