Un ataque de ransomware contra la firma internacional de TI Kaseya parece haber infectado a cientos de empresas más pequeñas que dependen del producto de la compañía, incluidas muchas con sede en EE. UU.
El viernes, Kaseya divulgado que había sido víctima de un “ata que potencial”, lo que implica que los piratas informáticos estaban apuntando de alguna manera a los usuarios de su producto local VSA. Los clientes deben cerrar VSA “INMEDIATAMENTE”, dice una alerta.
Si bien la compañía ha afirmado que el ataque está “limitado a un pequeño número” de clientes, la posición de Kaseya en un ecosistema de TI más amplio significa que los efectos de este ataque podrían ser bastante grandes, lo que podría convertirlo en uno de los ataques de ransomware más grandes de la historia.
Kaseya vende sus productos a firmas conocidas como proveedores de servicios administrados (MSP), compañías que brindan servicios de TI remotos a cientos de pequeñas empresas que no tienen los recursos para llevar a cabo esos procesos internamente. Los MSP utilizan la plataforma en la nube VSA de Kaseya para ayudar a administrar y enviar actualizaciones de software a sus clientes, así como para administrar otros problemas de los usuarios.
Sin embargo, parece que una banda de ransomware está abusando de VSA al “usar una actualización maliciosa” para implementar ransomware en “empresas de todo el mundo”. los informes de registro. Si bien no está claro la mecánica exacta del ataque o cómo y cuándo ocurrió, los expertos en seguridad informan que el ransomware está afectando no solo a los MSP que usan VSA, sino también a sus clientes. En otras palabras, el ransomware parece haber infectado a cientos de empresas de menor tamaño que dependen de los MSP para el soporte de TI.
G / O Media puede obtener una comisión
La firma de seguridad Huntress le dijo a Gizmodo que tres de sus clientes, que son MSP y usan VSA, se vieron afectados por el ataque y que, como resultado, hasta 200 empresas más pequeñas que dependen de esos MSP se vieron afectadas por el cifrado.
“Sabemos de cuatro MSP en los que todos los clientes se ven afectados: 3 en EE. UU. Y uno en el extranjero. Los MSP con más de miles de terminales están siendo atacados ”, dijo John Hammond, investigador de seguridad senior de Huntress. “Cuando un MSP se ve comprometido, hemos visto pruebas de que se ha extendido a través del VSA a todos los clientes del MSP”.
Hammond agregó que, “basándonos en todo lo que estamos viendo en este momento, creemos firmemente que [is] REvil / Sodinikibi “.
REvil es una pandilla de ciberdelincuentes prominente que ha utilizado ransomware para perseguir objetivos de alto perfil, incluidos manzana y Acer. También se cree que fue la pandilla que atacó al proveedor de carne JBS, extorsionando con éxito al gran proveedor de carne. por $ 11 millones.
El organismo de control federal de ciberseguridad de Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad, anunció viernes que estaba “tomando medidas para comprender y abordar el reciente ataque de ransomware de la cadena de suministro contra Kaseya VSA y los múltiples proveedores de servicios administrados (MSP) que emplean el software VSA”.
“CISA alienta a las organizaciones a revisar el aviso de Kaseya y seguir inmediatamente su guía para apagar los servidores VSA”, dijo la agencia.
.