El exitoso ataque de ransomware al software Virtual Systems Administrator (VSA) de Kaseya afecta a una gran cantidad de empresas que utilizan este software. Un comentario de Mark Loman, director de ingeniería de Sophos, sobre el reciente ataque de ransomware REvil a Kaseya.
“Desde que se conoció el último ataque de ransomware REvil, Sophos ha realizado numerosas investigaciones y clasificó el ataque en la categoría 'Distribución de la cadena de suministro'. Los delincuentes utilizan proveedores de servicios gestionados (MSP) como una "plataforma de distribución" para apuntar a tantas empresas como sea posible, independientemente del tamaño o la industria.
Ransomware utiliza MSP como plataforma de distribución
Estamos viendo un patrón recurrente aquí, ya que los atacantes adaptan continuamente sus métodos para maximizar el impacto, ya sea financieramente o para robar credenciales y otra información patentada que luego podrían usar. En otros ataques a gran escala que hemos visto en el pasado, como WannaCry, el ransomware en sí era el distribuidor. En el caso actual, poco después del ataque, quedó claro que un socio de ransomware como servicio (RaaS) de REvil estaba usando un exploit de día cero para distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya. Por lo general, este software proporciona un canal de comunicación altamente confiable que permite a los MSP acceso privilegiado ilimitado para ayudar a muchas empresas con sus entornos de TI. Es precisamente esta plataforma la que ahora ha sido reutilizada como distribuidora del ransomware”.
rescate en millones
“Algunos grupos exitosos de ransomware han robado millones de dólares en rescate últimamente, lo que les permite comprar exploits de día cero muy valiosos. Ciertos exploits generalmente solo han sido factibles a nivel de estado-nación, que generalmente implementa estas herramientas específicamente para un ataque específico y aislado. En manos de los ciberdelincuentes, un 'exploit premium' de este tipo para una vulnerabilidad en una plataforma global puede afectar a muchas empresas a la vez e impactar en nuestra vida diaria”.
Basado en Sophos Threat Intelligence, REvil ha estado particularmente activo en las últimas semanas, incluido el ataque JBS, y actualmente es la pandilla de ransomware dominante involucrada en los casos de respuesta defensiva frente a amenazas de Sophos.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.