Tecnología

REvil ransomware golpea a 200 empresas en un ataque a la cadena de suministro de MSP

Mal

Un ataque masivo de ransomware REvil afecta a múltiples proveedores de servicios administrados y a sus clientes a través de un ataque a la cadena de suministro de Kaseya informado.

A partir de esta tarde, la banda de ransomware REvil, también conocida como Sodinokibi, apuntó a los MSP con miles de clientes, a través de lo que parece ser un ataque a la cadena de suministro de Kaseya VSA.

En este momento, hay ocho grandes MSP conocidos que se han visto afectados como parte de este ataque a la cadena de suministro.

Kaseya VSA es una plataforma MSP basada en la nube que permite a los proveedores realizar la administración de parches y el monitoreo de clientes para sus clientes.

John Hammond de Huntress Labs le ha dicho a BleepingComputer que todos los MSP afectados están usando Kaseya VSA y que tienen pruebas de que sus clientes también están siendo encriptados.

«Tenemos 3 socios de Huntress que se ven afectados con aproximadamente 200 empresas cifradas», dijo Hammond a BleepingComputer.

Kaseya emitió un aviso de seguridad en su sitio de mesa de ayuda, advirtiendo a todos los clientes de VSA que apaguen inmediatamente su servidor VSA para evitar la propagación del ataque durante la investigación.

«Estamos experimentando un ataque potencial contra el VSA que se ha limitado a una pequeña cantidad de clientes en las instalaciones solo a las 2:00 pm EDT de hoy.

Estamos en el proceso de investigar la causa raíz del incidente con mucha precaución. pero le recomendamos que apague INMEDIATAMENTE su servidor VSA hasta que reciba un nuevo aviso de nuestra parte.

Es fundamental que haga esto de inmediato, porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA. «

En una declaración a Bleeping Computer, Kaseya declaró que han cerrado sus servidores SaaS y están trabajando con otras empresas de seguridad para investigar el incidente.

La mayoría de los ataques de ransomware a gran escala se llevan a cabo a altas horas de la noche durante el fin de semana, cuando hay menos personal para monitorear la red.

Como este ataque ocurrió al mediodía de un viernes, los actores de la amenaza probablemente planearon que la hora coincidiera con el fin de semana del 4 de julio en los EE. UU., Donde es común que el personal tenga una jornada laboral más corta antes de las vacaciones.

El ataque del mal se propagó a través de la actualización automática

La Computadora Bleeping ha sido contada por ambas Cazadoras John Hammond y Sophos Mark Loman que los ataques a los MSP parecen ser un ataque a la cadena de suministro a través de Kaseya VSA.

Según Hammond, Kaseya VSA colocará un archivo agent.crt en la carpeta c: kworking, que se distribuirá como una actualización llamada ‘Kaseya VSA Agent Hot-fix’.

Luego, se inicia un comando de PowerShell para decodificar el archivo agent.crt utilizando el comando legítimo certutil.exe de Windows y extraer un archivo agent.exe en la misma carpeta.

Comando de PowerShell para ejecutar el ransomware REvil
Comando de PowerShell para ejecutar el ransomware REvil
Fuente: Reddit

El agent.exe está firmado con un certificado de «PB03 TRANSPORT LTD» e incluye un «MsMpEng.exe» y un «mpsvc.dll» incrustados, siendo la DLL el cifrador REvil.

Archivo agent.exe firmado
Archivo agent.exe firmado

MsMPEng.exe es una versión anterior del ejecutable legítimo de Microsoft Defender que se utiliza como LOLBin para iniciar la DLL y cifrar el dispositivo a través de un ejecutable de confianza.

El agent.exe extrae y ejecuta recursos incrustados
El agent.exe extrae y ejecuta recursos incrustados

Algunas de las muestras agregan claves de registro de Windows con carga política y cambios de configuración a las ordenadores infectadas.

Por ejemplo, una muestra [VirusTotal] instalado por BleepingComputer agrega el HKLM SOFTWARE Wow6432Node BlackLivesMatter clave para almacenar información de configuración del ataque.

Intel avanzado Vitali Kremez le dijo a Bleeping Computer que otra muestra configura el dispositivo para iniciar REvil Safe Mode con una contraseña predeterminada de ‘DTrump4ever.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
«AutoAdminLogon» = «1»
«DefaultUserName» = «[account_name]»
«DefaultPassword» = «DTrump4ever»

Huntress continúa brindando más información sobre el ataque en un Hilo de Reddit.

En un comunicado a Bleeping Computer el viernes por la noche, Kaseya dijo que encontraron la vulnerabilidad que se utilizó durante el ataque y que se lanzará un parche lo antes posible.

«Si bien nuestra investigación está en curso, hasta la fecha creemos que:

  • Nuestros clientes de SaaS nunca estuvieron en riesgo. Esperamos restablecer el servicio a esos clientes una vez que hayamos confirmado que no están en riesgo, lo que esperamos sea dentro de las próximas 24 horas;
  • Solo un porcentaje muy pequeño de nuestros clientes se vio afectado; actualmente se estima en menos de 40 en todo el mundo.

Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales que serán probados a fondo. Lanzaremos ese parche lo más rápido posible para que nuestros clientes vuelvan a estar en funcionamiento «. – Kaseya.

Bleeping Computer ha enviado preguntas de seguimiento sobre la vulnerabilidad, pero no ha recibido respuesta en este momento.

Pandilla de ransomware exige un ransomware de $ 5 millones

Una muestra del ransomware REvil utilizado en uno de estos ataques se ha compartido con Bleeping Computer. Sin embargo, se desconoce si esta es la muestra utilizada para cada víctima o si cada MSP recibió su propia demanda de rescate.

La banda de ransomware exige un rescate de $ 5,000,000 para recibir un descifrador de una de las muestras.

Demanda de rescate
Demanda de rescate

Si bien se sabe que REvil roba datos antes de implementar el ransomware y los dispositivos de cifrado, se desconoce si los atacantes exfiltraron algún archivo.

Los MSP son un objetivo de gran valor para las bandas de ransomware, ya que ofrecen un canal fácil para infectar a muchas empresas a través de una sola brecha, pero los ataques requieren un conocimiento profundo sobre los MSP y el software que utilizan.

REvil tiene un afiliado bien versado en la tecnología utilizada por los MSP, ya que tienen un largo historial de dirigirse a estas empresas y al software que utilizan habitualmente.

En junio de 2019, un afiliado de REvil apuntó a los MSP a través de Escritorio remoto y luego usó su software de administración para enviar instaladores de ransomware a todos los puntos finales que administran.

Se cree que este afiliado trabajó anteriormente con GandCrab, quien también llevó a cabo con éxito ataques contra MSP en enero de 2019.

Esta es una historia en desarrollo y se seguirá actualizando.

Actualización 7/1/21 10:30 PM EST: Se agregó una declaración actualizada sobre la vulnerabilidad.

Leave a Comment

You may also like

Más