Primera actualización 2021-07-02, 22:40 UTC
Última actualización 2021-07-04, 23:28 UTC
El viernes 2 de julio de 2021 a las 14:00 EDT / 18: 00 UTC, Sophos se dio cuenta de un ataque a la cadena de suministro que usa Kaseya para implementar ransomware en el entorno de una víctima. Ha habido un cambio notable hacia los ataques a los dispositivos perimetrales en los últimos años. Las vulnerabilidades en los dispositivos comunes que se enfrentan a Internet permiten a los atacantes poner en peligro una gran cantidad de sistemas a la vez con muy poco esfuerzo. En este caso, apuntaron al servidor Kaseya VSA.
Parece que los atacantes aprovecharon una vulnerabilidad de día cero, posiblemente con una inyección SQL (SQLi), para acceder de forma remota a los servidores VSA de Internet. Como Kaseya es utilizado principalmente por proveedores de servicios administrados (MSP), este enfoque les dio a los atacantes acceso privilegiado a los dispositivos de los clientes de MSP. Algunas de las características comunes del VSA Server son la implementación de software y la automatización de tareas de TI. Como tal, tiene un alto nivel de confianza en los dispositivos de los clientes. Al infiltrarse en el servidor VSA, cualquier cliente adjunto realizará cualquier tarea que el servidor VSA solicite sin dudarlo. Esta es probablemente una de las razones por las que Kaseya fue atacada.
Para obtener un análisis detallado del ataque, el malware utilizado y las lecciones aprendidas, consulte el artículo de SophosLabs Uncut Independence Day: REvil usa el exploit de la cadena de suministro para atacar a cientos de empresas.
SophosLabs y el equipo de operaciones de seguridad de Sophos también han publicado un artículo de blog de seguridad sobre este ataque con varios indicadores de compromiso (IoC) que incluyen detecciones, procesos, archivos, claves de registro, extensiones y dominios que ayudarán a las organizaciones a determinar si están potencialmente afectadas y siguientes pasos recomendados. En este momento, nuestra evidencia muestra que más de 70 proveedores de servicios administrados se vieron afectados, lo que resultó en más de 350 organizaciones más afectadas.
Continuaremos actualizando estos artículos en tiempo real a medida que haya nueva información disponible. Si está experimentando este ataque y necesita ayuda, nuestro servicio de Respuesta Rápida está disponible para ayudarlo.
Los clientes de Sophos están protegidos mediante detecciones en varios productos de Sophos. Consulte el artículo del Blog de seguridad para obtener todos los detalles.
Cambio de registro:
2021-07-04, 23:28 UTC: análisis detallado del ataque, malware utilizado y lecciones aprendidas
2021-07-04, 17:35 UTC – Información actualizada sobre el enfoque de ataque
2021-07-03, 22:49 UTC – IoC actualizado
2021-07-03, 02:35 UTC – Actualización agregada para cualquier persona que necesite ayuda
Leave a Reply