Después de Sunburst (Solarwinds), el ataque a Kaseya es el segundo ataque sensacional a la cadena de suministro en seis meses. Teniendo en cuenta el número de empresas afectadas al mismo tiempo, el ciberataque es sin duda uno de los mayores en la historia de la seguridad informática. Comentario sobre la crisis de Kaseya por Richard Werner, consultor empresarial de Trend Micro.
El fin de semana del 4 de julio, Día Nacional de Estados Unidos, un ciberataque afectó al proveedor de servicios Kaseya y rápidamente se extendió a sus clientes y otras empresas. Según la plataforma de noticias Bleepingcomputer, unos 50 clientes directos del proveedor se vieron afectados, quienes a su vez infectaron a sus clientes como proveedores de servicios. Según la agencia de noticias, unas 1.500 empresas en todo el mundo se ven afectadas.
50 clientes de Kaseya infectan a otras 1.500 empresas
Trend Micro puede confirmar que también se han producido incidentes en Alemania. Que el ataque se haya producido en una de las festividades más importantes de los EE.UU. no es casualidad, sino un cálculo cuidadoso de los perpetradores que salió bien. Los equipos de seguridad informática no sólo carecen de personal suficiente durante los fines de semana y días festivos, sino que también se rompieron las cadenas de comunicación con los clientes afectados, lo que permitió en muchos casos que el ataque se propagara sin obstáculos. Teniendo en cuenta el número de empresas afectadas al mismo tiempo, el ciberataque es sin duda uno de los mayores en la historia de la seguridad informática. Si los divides en sus partes individuales, te vienen a la mente muchos paralelos con otros ataques. Del esquema aproximado y repetitivo, las empresas pueden extraer algunas lecciones útiles para su infraestructura:
Todo comienza con la vulnerabilidad.
Lo llamativo del caso "Kaseya" es que en el software se utilizó una brecha de seguridad que el fabricante conocía en el momento del delito y cuyo cierre ya estaba en fase beta. A los atacantes no les quedaba mucho tiempo si querían tener éxito. El proveedor de servicios fue informado de la existencia de la vulnerabilidad mediante la llamada "divulgación responsable" y trabajó para cerrarla. Sin embargo, la conexión temporal es inusual y deja lugar a la interpretación. Aunque el problema de los parches es bien conocido en el ámbito de la seguridad informática, las empresas deben tener en cuenta que los atacantes no sólo buscan vulnerabilidades en Microsoft u otras variantes de software ampliamente utilizadas, sino también en el software de los proveedores de servicios informáticos. La atención se centra especialmente en aplicaciones que están en comunicación directa con varios dispositivos del cliente. Si ejecuta su propio desarrollo de software, este hecho también debe formar parte del cálculo del riesgo.
Los detalles de un ataque a la cadena de suministro
Todo el incidente entra en la categoría de "ataque a la cadena de suministro". En esta categoría, todavía relativamente rara pero cada vez más común, el perpetrador infecta inicialmente a los proveedores de servicios de TI. Son muy interesantes porque mantienen conexiones de TI existentes o activables con otras empresas. Se ven afectados, por ejemplo, mecanismos de actualización que realizan actualizaciones directamente en sistemas externos, pero también sistemas de mantenimiento remoto, procesamiento de pedidos y similares. De este modo, los perpetradores pueden apoderarse de una máquina, generalmente un servidor, en el centro de datos de la víctima. A diferencia de los ataques "clásicos", se pasan por alto toda la seguridad de la red y las soluciones de seguridad basadas en el cliente. Lo que queda es lo que se activa en los sistemas del servidor y monitorea las comunicaciones entre los sistemas del servidor.
La tecnología antivirus obsoleta abre caminos
Especialmente en los centros de datos locales, esta suele ser una tecnología antivirus obsoleta. Además, a menudo faltan parches de seguridad importantes, en caso de que los sistemas operativos sean compatibles. Esta circunstancia garantiza que el perpetrador a menudo pueda eliminar a la víctima final con extrema rapidez y moverse por los sistemas casi sin ser detectado. Cuanto mayor sea el daño inicial, mejor para el atacante, ya que esto puede crear una presión enorme. La oferta especial de Kaseya dio a los delincuentes la oportunidad no sólo de llegar directamente a las empresas, sino también a sus clientes. Esto explica el número relativamente grande de víctimas. Los ataques a la cadena de suministro son relativamente raros porque son complicados e implican mucho esfuerzo por parte del atacante. Sin embargo, su efecto suele ser fatal.
Lecciones de Kaseya
Es importante entender que no se trata de una ola pasajera. En el actual panorama de seguridad TI que cambia rápidamente, en muchos casos factores externos son responsables de la situación actual. Estos incluyen la importancia de las TI en las empresas, el uso generalizado de las TI por parte de los empleados y la aparición de Bitcoin. Mientras que los dos primeros contribuyen a que las TI y, por tanto, sobre todo la seguridad informática en las empresas sean cada vez más complejas y, por tanto, más confusas, la aparición de las criptomonedas ha revolucionado el mundo cibernético. Esto permite a los protagonistas clandestinos especializarse cada vez más y comerciar libremente entre sí. Los tres factores ya no se pueden revertir. La mencionada complejidad se convierte cada vez más en una carga para los defensores, lo que genera problemas tanto en la transmisión como en la interacción puramente interpersonal. Por lo tanto, las empresas deben comprobar su estrategia de seguridad actual en busca de técnicas de ataque modernas. El ejemplo de Kaseya puede ayudar.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.