Tecnología

CISA y el FBI comparten una guía para las víctimas del ataque de ransomware Kaseya

CISA y el FBI comparten una guía para las víctimas del ataque de ransomware Kaseya

CISA y la Oficina Federal de Investigaciones (FBI) han compartido una guía para los proveedores de servicios administrados (MSP) y sus clientes afectados por el ataque de ransomware de la cadena de suministro REvil que afectó los sistemas de la plataforma MSP basada en la nube de Kaseya.

Las dos agencias federales aconsejan a los MSP afectados por el ataque Friday REvil que revisen sus sistemas en busca de signos de compromiso utilizando una herramienta de detección proporcionada por Kaseya durante el fin de semana y habiliten la autenticación multifactor (MFA) en tantas cuentas como sea posible.

Además, los MSP también deben implementar listas de permisos para limitar el acceso a sus activos internos y proteger la interfaz de administración de sus herramientas de monitoreo remoto mediante firewalls o VPN.

La lista completa de recomendaciones compartidas por CISA y el FBI para los MSP afectados incluye:

  • Descargar el Herramienta de detección Kaseya VSA. Esta herramienta analiza un sistema (ya sea un servidor VSA o un punto final administrado) y determina si hay algún indicador de compromiso (IoC) presente.
  • Habilite y aplique la autenticación multifactor (MFA) en cada cuenta que esté bajo el control de la organización y, en la mayor medida posible, habilite y aplique MFA para los servicios de cara al cliente.
  • Implementar el listado de permisos para limitar la comunicación con capacidades de administración y monitoreo remoto (RMM) a pares de direcciones IP conocidos, y / o
  • Coloque las interfaces administrativas de RMM detrás de una red privada virtual (VPN) o un firewall en una red administrativa dedicada.

Se recomienda a los clientes de MSP afectados por el ataque que utilicen y apliquen MFA siempre que sea posible y protejan sus copias de seguridad colocándolas en sistemas con espacio de aire.

CISA y el FBI aconsejan a los clientes de MSP afectados que:

  • Asegúrese de que las copias de seguridad estén actualizadas y almacenadas en una ubicación fácilmente recuperable que esté separada de la red de la organización;
  • Revertir a un proceso de administración de parches manual que sigue las pautas de corrección del proveedor, incluida la instalación de nuevos parches tan pronto como estén disponibles;
  • Implementar MFA y el principio de privilegio mínimo en cuentas de administrador de recursos de red clave.

CISA y FBI involucrados en el proceso de manejo de incidentes

Las dos agencias federales están involucradas en el proceso mundial de manejo de incidentes para los clientes de Kaseya afectados y están instando a todos los MSP afectados y a sus clientes a seguir la guía compartida anteriormente.

«Debido a la escala potencial de este incidente, es posible que el FBI y la CISA no puedan responder a cada víctima individualmente, pero toda la información que recibamos será útil para contrarrestar esta amenaza», dijo el FBI en un comunicado. Declaración oficial emitido durante el fin de semana.

El Consejo de Seguridad Nacional de la Casa Blanca también ha instó a las víctimas de este ataque a la cadena de suministro a gran escala para informar el incidente al Centro de quejas de delitos en Internet.

También se recomendó a las víctimas que siguieran la guía emitida por Kaseya, incluido el cierre de sus servidores VSA, así como la implementación de las técnicas de mitigación de CISA y FBI.

REvil golpea a los clientes de Kaseya en el mayor ataque de ransomware de la historia

El ataque masivo de ransomware REvil afectó a varios proveedores de servicios administrados que utilizan la plataforma MSP basada en la nube de Kaseya para la administración de parches y el monitoreo de clientes para sus clientes.

En total, más de 1,000 clientes de 20 MSP tenían sus sistemas encriptados en el ataque cuidadosamente planeado para lanzarse el viernes al mediodía, como coincidía con el fin de semana del 4 de julio de EE. UU., Cuando es común que el personal tenga días laborales más cortos.

Para violar los servidores VSA locales de Kaseya, el afiliado de REvil detrás del ataque utilizó una vulnerabilidad de día cero (CVE-2021-30116): Kaseya VSA es un software RMM (Remote Monitoring and Management).

Como descubrió más tarde Bleeping Computer, Kaseya estaba en proceso de parchear después de que investigadores del Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) lo informaran en forma privada.

Sin embargo, el afiliado de REvil consiguió los detalles de la vulnerabilidad y logró explotarla antes de que Kaseya pudiera comenzar a dar una solución validada a sus clientes.

El grupo de ransomware REvil afirma haber cifrado más de 1,000,000 de sistemas y primero exigió $ 70 millones para un descifrador universal para descifrar a todas las víctimas de ataques de Kaseya. Sin embargo, hoy en día, sus operadores han redujo el precio a $ 50 millones.

Esta es la demanda de rescate más alta hasta la fecha, el récord anterior también pertenece a REvil, que pidió 50 millones de dólares después de atacar al fabricante taiwanés de ordenadores y electrónicos Acer.

Esta no es la primera vez que REvil ransomware se usa en ataques que afectan a los MSP, y al menos uno de sus afiliados tiene conocimiento de la tecnología utilizada por los MSP, ya que la han explotado anteriormente en incidentes anteriores.

En junio de 2019, una de las afiliadas de REvil apuntó a los MSP a través de Escritorio remoto utilizando su software de administración para entregar instaladores de ransomware a todos los puntos finales de los clientes que administraban.

También se cree que el mismo afiliado trabajó anteriormente con GandCrab en ataques que comprometieron las redes de los MSP en enero de 2019.

Leave a Comment

You may also like

Más