INCIBE: Tu ayuda en Ciberseguridad
Los funcionarios cibernéticos de EE. UU. Están rastreando un nuevo e importante ataque de ransomware del mismo grupo que afectó al proveedor de carne JBS Foods esta primavera.
Esta vez, el malware REvil ha afectado a una amplia gama de empresas de gestión de TI y ha comprometido a cientos de sus clientes corporativos.
La banda de ciberdelincuentes, que se cree que opera fuera de Europa del Este o Rusia, apuntó a un proveedor de software clave conocido como Kaseya, cuyos productos son ampliamente utilizados por las empresas de gestión de TI, dijeron expertos en ciberseguridad.
Este último ataque de ransomware ya ha eliminado al menos a una docena de empresas de soporte de TI que dependen de la herramienta de gestión remota de Kaseya llamada VSA, dijo Kyle Hanslovan, director ejecutivo de la firma de ciberseguridad Huntress Labs. En al menos un caso, dijo Hanslovan, los atacantes exigieron un rescate de $ 5 millones.
El incidente no solo afecta a las empresas de gestión de TI, sino también a los clientes corporativos de aquellas empresas que les han subcontratado la gestión de TI, dijo Hanslovan. Estimó que hasta 1.000 pequeñas y medianas empresas podrían verse afectadas por el hack.
"Esto tiene solo tres horas y media, por lo que es muy nuevo y aún no conocemos la escala", dijo Hanslovan.
En los últimos meses, los ciberdelincuentes se han dirigido cada vez más a organizaciones que desempeñan funciones fundamentales en amplias franjas de la economía de EE. UU. Un ataque de alto perfil contra Colonial Pipeline en mayo interrumpió los envíos de combustible a las estaciones de servicio a lo largo de la costa este, lo que provocó una compra de pánico generalizada. El ciberataque de JBS provocó el cierre temporal de las nueve plantas procesadoras de carne de vacuno de EE. UU.
El último ataque que se desarrolló rápidamente provocó alarma entre los expertos en ciberseguridad.
"Si usa Kaseya VSA, apáguelo * ahora * hasta que se le indique reactivar e iniciar [respuesta a incidentes]", tuiteó Christopher Krebs, ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional. En su propio aviso, CISA dijo que está trabajando para comprender y abordar el problema.
En una publicación de blog, Kaseya dijo que cerró sus servidores en la nube mientras investiga el incidente de VSA.
"Estamos investigando un posible ataque contra el VSA que indica que se ha limitado a un pequeño número de nuestros clientes locales", dijo Kaseya. "Hemos cerrado proactivamente nuestros servidores SaaS por precaución".
Un análisis del software malicioso realizado por la firma de ciberseguridad Emsisoft muestra que fue creado por REvil, la banda de ransomware que, según funcionarios estadounidenses, comprometió a JBS Foods.
Mientras tanto, tres de los proveedores de servicios de TI comprometidos están entre los propios clientes de ciberseguridad de Huntress Labs, dijo Hanslovan.
"Tenemos conocimiento directo de él ahora y hemos confirmado que de hecho es REvil", dijo Hanslovan.
Hasta 200 de los tres clientes de proveedores de servicios de TI afectados se han visto comprometidos por el malware, dijo Hanslovan.
El ransomware parece haber sido incrustado en secreto en Kaseya VSA, lo que ayudó a difundir el software malicioso porque las empresas de gestión de TI utilizan VSA para distribuir actualizaciones de software a sus clientes, dijo Hanslovan. No está claro cómo se comprometió por primera vez el software de Kaseya.
Este ataque al estilo de la cadena de suministro es similar a la táctica utilizada por los piratas informáticos rusos en el compromiso de SolarWinds, aunque en este caso el software malicioso se utilizó para secuestrar las redes de las víctimas en lugar de espiarlas.
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: wsvn