Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Los actores del ransomware REvil atacan a Kaseya en un ataque a la cadena de suministro

Escrito por: Blog Cisco Talos

Actualizado el 6 de julio de 2021:

A medida que continúa el análisis del ataque de ransomware que afecta a las organizaciones que utilizan Kaseya VSA, compartimos una actualización que contiene información adicional. A medida que se identifican nuevos detalles, esta información puede actualizarse según sea necesario.

  • Este evento consistió en dos incidentes separados pero relacionados. El compromiso inicial fue el resultado de un ataque de día cero contra los MSSP que permitió a los adversarios realizar un ataque a la cadena de suministro de servicios en víctimas adicionales.

  • El compromiso inicial de los servidores Kaseya VSA parece haber sido el resultado de la explotación exitosa de una vulnerabilidad de software no parcheada (CVE-2021-30116) que permitió a los atacantes obtener acceso privilegiado a servidores Kaseya VSA vulnerables con el propósito de implementar ransomware.

  • Las demandas de rescate variaron entre las organizaciones de víctimas. Esto indica que una vez que los atacantes obtuvieron acceso a los servidores VSA, se analizó la configuración del servidor para identificar a las víctimas antes de la activación de cargas útiles de ransomware malicioso.

  • La ausencia de actividad de exfiltración de datos, la eliminación de instantáneas en los sistemas infectados y el anuncio de una clave de descifrado para toda la campaña es una divergencia notable de los TTP que se observan típicamente durante los ataques de ransomware REvil.

  • Las muestras de ransomware REvil identificadas como asociadas con este ataque se configuraron para deshabilitar la comunicación con la infraestructura C2 que normalmente se usa para enviar información y estadísticas de cifrado.

  • Durante el proceso de infección, la hora actual del sistema se compara con el 2 de julio de 2021 a las 12:30 ET. En este momento, se ejecuta la función de ping, lo que provoca un retraso entre la infección inicial y cuando se puede detectar actividad maliciosa adicional en los sistemas.

Cronología del evento

2 DE JULIO DE 2021

  • La primera actividad de ejecución de comando observada que indica un ataque en curso se produjo a las 10:30:58 ET. El proceso principal, en este caso, fue el proceso de Kaseya Agentmon.


  • La primera ejecución observada del mecanismo del cuentagotas en la naturaleza ocurrió a las 12:26:00 EDT. (D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E)

  • Gen: Variant.Graftor.952042 se detectó por primera vez el 2 de julio de 2021 a las 12:31:40 ET cuando la actividad maliciosa se reanudó después del período de retraso inicial descrito anteriormente.

  • Los usuarios con protección de actividad maliciosa detectaron esta actividad como W32.MAP.Ransomware.rewrite. La detección inicial de la actividad asociada con este ataque ocurrió el 07/02/21 a las 12:32:08 EDT.

  • La detección adicional fue proporcionada por W32.D55F983C99-100.SBX.TG, W32.File.MalParent, W32.RetroDetected.

  • La primera ejecución observada de la DLL en estado salvaje ocurrió a las 12:30:24 EDT. (8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD)

  • Se publicó un hilo de Reddit alrededor de las 12:30 ET.

  • En unas pocas horas comenzaron a surgir informes de un ataque de ransomware REvil a gran escala asociado con Kaseya VSA.

  • Kaseya emitió un comunicado a las 16:11 EDT con recomendaciones para cerrar todos los servidores VSA y SaaS.

  • CISA lanzó una alerta relacionada con la campaña en curso.

4 DE JULIO DE 2021

  • Kaseya lanzó la herramienta de detección VSA para ayudar a determinar si el servidor VSA o el punto final administrado se ha visto comprometido.

  • CISA y el FBI publicaron una guía adicional para los MSP.

  • El Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) anunció que alertaron a Kaseya sobre CVE-2021-30116 y estaban trabajando en el proceso de divulgación coordinado cuando comenzaron los ataques.

  • La Casa Blanca emitió una declaración del asesor adjunto de seguridad nacional para tecnología cibernética y emergente sobre la denuncia de compromisos de Kaseya.

6 DE JULIO DE 2021

  • Kaseya dio a conocer detalles adicionales, confirmando el uso de una vulnerabilidad de día cero e incluyendo IOC, así como información de victimología que indica que al menos 60 clientes y 1,500 negocios posteriores se habían visto afectados.

Conclusiones clave

Es importante tener en cuenta que las organizaciones que hacen uso de Kaseya VSA pueden haberse visto comprometidas incluso en ausencia de una implementación exitosa de ransomware. Esta no es la primera instancia de software de administración remota que se utiliza como punto de entrada inicial durante una campaña de ransomware. Dado cómo se implementa normalmente Kaseya VSA, muchas organizaciones están siendo atacadas debido al compromiso exitoso de los proveedores de servicios ascendentes como MSSP, similares a los ataques anteriores de la cadena de suministro de servicios como DNSpionage y Sea Turtle , que Cisco Talos descubrió en 2018.


Fuente: https://blog.talosintelligence.com/2021/07/revil-ransomware-actors-attack-kaseya.html

6 vistas0 comentarios