Ransomware REvil Desplegado en el Ataque a la Cadena de Suministro de Kaseya
Tabla de contenidos:
Cientos de empresas han sido recientemente expuestas a un ataque masivo en la cadena de suministro en la empresa de software Kaseya. Un bug de dĂa cero en el software VSA de Kaseya fue aprovechado de manera nefasta por la banda REvil para infectar a 30 proveedores de servicios gestionados (MSPs) y mĂşltiples de sus clientes con ransomware.
Aunque el vendedor ha estado al tanto de la vulnerabilidad desde el 2 de julio de 2021, Kaseya aĂşn está investigando el problema y a punto de lanzar el parche oficial en los prĂłximos dĂas. Este pequeño retraso permitiĂł a los actores de amenaza REvil empujar las actualizaciones maliciosas el 4 de julio de 2021, avanzando con la intrusiĂłn mientras las defensas estaban debilitadas debido al fin de semana largo en EE.UU.
Ataque a la cadena de suministro de Kaseya VSA
SegĂşn Huntress, los indicadores iniciales de compromiso se rastrearon el 2 de julio cuando el equipo de Respuesta a Incidentes estuvo en alerta debido a un posible incidente de seguridad que involucraba al software VSA de Kaseya.
Los investigadores creen que los actores de amenaza REvil lograron explotar una vulnerabilidad de dĂa cero en los servidores VSA de Kaseya para eludir la autenticaciĂłn en el panel web y ejecutar comandos SQL en el dispositivo para desplegar la carga Ăştil de REvil a todos los clientes conectados. Los clientes recibieron el paquete malicioso de ‘VSA agent hotfix’ que pudo superar las protecciones antivirus aprovechando la versiĂłn antigua fallida de la aplicaciĂłn Microsoft Defender.
El ataque a la cadena de suministro de Kaseya resultó en más de un millón de dispositivos individuales encriptados y fuera de operación, según la actualización en el blog oficial de REvil. Simultáneamente, los expertos en seguridad lograron identificar más de 30 MSPs y más de 1,000 empresas en EE.UU., AUS, EU y LATAM infectadas.
SegĂşn la declaraciĂłn de REvil, los hackers planean liberar un Ăşnico descifrador para todas las vĂctimas en caso de que los hackers reciban un rescate de $70,000,000 pagado en Bitcoins.
Acciones Tomadas por la Comunidad Global de Ciberseguridad
Inmediatamente despuĂ©s de la revelaciĂłn del ataque a la cadena de suministro, Kaseya tomĂł acciones rápidas y comenzĂł a trabajar en resolver el problema y restaurar a sus clientes al servicio respaldados por la comunidad de expertos en ciberseguridad de terceros. El vendedor tomĂł medidas preventivas instantáneamente cerrando los servidores SaaS para proteger a sus clientes locales y recomendar encarecidamente mantener los servidores VSA alojados fuera de lĂnea hasta nuevo aviso, lo cual fue anunciado en el Aviso Importante del 4 de julio de 2021. El 4 de julio, Kaseya introdujo una nueva Herramienta de DetecciĂłn de Compromiso para habilitar la revisiĂłn del sistema en busca de indicadores de compromiso (IoC). Tan pronto como el incidente estallĂł, la comunidad global de ciberseguridad se involucrĂł en una colaboraciĂłn activa para ayudar a Kaseya a resistir el ataque e investigar el incidente. Basado en el análisis tĂ©cnico realizado por los investigadores de Huntress, los adversarios parecen haber explotado una vulnerabilidad SQLi. Basado en la ActualizaciĂłn #12 del 4 de julio de la investigaciĂłn de Huntress, los adversarios aplicaron un bypass de autenticaciĂłn para ganar acceso a los servidores VSA comprometidos, cargar la carga Ăştil original y ejecutar comandos utilizando la inyecciĂłn SQL.
DetecciĂłn del Ataque a la Cadena de Suministro de Kaseya
Para ayudar a las organizaciones a defenderse proactivamente contra este incidente de ransomware masivo que afecta a numerosos MSPs en todo el mundo, el Equipo SOC Prime junto con Florian Roth han lanzado reglas especĂficas de Sigma. Descargue estos elementos de contenido de SOC de forma gratuita directamente desde el Threat Detection Marketplace:
Esta regla escrita por el Equipo SOC Prime detecta posibles intentos de explotaciĂłn de SQLi contra Kaseya VSA y tiene traducciones a los siguientes formatos de lenguaje:
SIEM & ANALĂŤTICAS DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
Tácticas: Acceso Inicial
TĂ©cnicas: Explotar AplicaciĂłn Expuesta al PĂşblico (T1190)
Esta detecciĂłn basada en comportamiento Sigma del repositorio de GitHub propiedad de Florian Roth detecta patrones y ubicaciones de la lĂnea de comandos de procesos utilizados por el grupo REvil involucrado en el incidente masivo de ransomware de Kaseya MSP. Aparte de este ataque a la cadena de suministro, esta regla tambiĂ©n puede aplicarse para detectar otro malware similar.
Esta regla Sigma puede traducirse a los siguientes formatos de lenguaje:
SIEM & ANALĂŤTICAS DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Sysmon, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
Actores: GOLD SOUTHFIELD
SOC Prime ha lanzado recientemente las Pautas de la Industria: Defensa Contra Ataques de Ransomware en 2021 cubriendo mejores prácticas para la defensa contra ransomware y ofreciendo las Ăşltimas detecciones contra ataques de ransomware para ayudar a los principales MSPs y organizaciones en varios sectores a resistir proactivamente las intrusiones especĂficas de la industria. Consulte estas Pautas de la Industria para mantenerse actualizado sobre las Ăşltimas tendencias en ransomware y fortalecer las capacidades de defensa cibernĂ©tica del SOC de su organizaciĂłn. Además, puede referirse a nuestra GuĂa de Reglas Sigma para principiantes para mejorar sus habilidades de caza de amenazas y comenzar a crear sus propias detecciones para fortalecer la defensa cibernĂ©tica colaborativa contra amenazas emergentes.
RegĂstrese en el Threat Detection Marketplace para obtener acceso a más de 100,000 algoritmos de detecciĂłn y respuesta entre herramientas, curados y adaptados al stack de SIEM & XDR en uso y alineados con MITRE ATT&CK metodologĂa. ÂżInteresado en participar en actividades de caza de amenazas y crear su propio contenido de detecciĂłn? ¡Únase a nuestro primer Bounty Program y ayude a que la detecciĂłn de amenazas sea más fácil, rápida y sencilla juntos!
