El peligroso grupo de origen ruso llamado REvil (Sodinokibi) que atacó exitosamente al Grupo MasMovil en España ha efectuado su plan perfecto, atacando través del software de gestión de la estadounidense (Miami, Florida) Kaseya ASV utilizando por miles de empresas en todo el mundo. Según telemetria de la compañía Eset también hay empresas víctimas de España en el ataque cadena de suministro de Kaseya VSA del Grupo Ransomware REvil . Podría ser el ataque más grave vivido hasta el momento. Podrían ser más de 1.000 empresas están afectadas en Estado Unidos y no 200 como se dijo en un primer momento. El problema es que podrían ser muchas más, Kaseya tiene hasta 40.000 clientes. En un reciente comunicado piden un rescate de 70 millones de dólares en BTC y afirman haber infectado 1 millón de sistemas. Kaseya confirma que hay entre 800 y 1.500 empresas afectadas.

Ataque cadena de suministro al software Kaseya VSA por parte del ransomware REvil deja muchas empresas afectadas

Ciberataque golpea a miles de empresas en EE.UU y en el resto del mundo

• Hay más de 1.000 empresas USA afectadas (inicialmente se hablaba de sólo 200) pero podrían ser muchas más.  Kaseya está presente en más de 10 países y tiene más de 40.000 clientes. 
• Demuestran que al atacar al proveedor de software de múltiples organizaciones pueden atrapar decenas, tal vez cientos de víctimas de un solo golpe.
• Están pidiendo un rescate 45 mil dólares por cada extensión de fichero
• No hay exfiltración (robo) datos, sólo cifrado ficheros
• 11 escuelas de Nueva Zelanda usan un MSP (proveedor de TI) que usa Kaseya y, por lo tanto, parece que se han visto afectadas.
•  Por ejemplo la infección obliga cierre 500 de los 800 supermercados Suecos Coop

Cientos de supermercados paralizados en Suecia por el ataque informático a Kaseya

¿Qué es Kaseva ASV?

 Kaseya, una empresa de software que brinda servicios a más de 40.000 organizaciones en todo el mundo y confirmó que su plataforma de administración de sistemas, llamada VSA, sufrió un "sofisticado" ciberataque que se realizó se propagó a través de una actualización maliciosa de de Kaseya VSA, plataforma utilizada por múltiples proveedores de servicios gestionados (MSP).

Es decir que se trata de un ataque a la cadena de suministro a través de Kaseya VSA, un software tipo Managed Service Provider (MSP) para control remoto y patching. 

Ejemplo nota rescate grupo REvil

¿Qué es un ataque cadena de suministro?

Ataque Suministro de Cadena (Supply Chain Attacks)

Un ataque a la cadena de suministro se produce cuando el software es creado y publicado por proveedores de confianza. Estas aplicaciones y actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que se requieran actualización.

Respuesta de Estados Unidos

La Agencia de Estados Unidos para la Seguridad Cibernética y la Infraestructura (CISA) dijo en su propio sitio web que estaba tomando medidas "para comprender y abordar el reciente ataque de ransomware" contra el programa VSA de Kaseya y múltiples proveedores de servicios. Según Huntress Labs, "alrededor de 200 (solo contando EEUU) empresas fueron tomadas como blanco por los delincuentes", sin que el grupo especifique su tamaño o sector de actividad, aunque el número seguirá creciendo con las horas. 

El presidente Joe Biden dijo que el gobierno de EE. UU. No está seguro de quién está detrás del ataque, pero ha ordenado a las agencias federales que ayuden en la respuesta.

"El hecho es que le ordené a la comunidad de inteligencia que me diera una inmersión profunda sobre lo que sucedió y lo sabré mejor mañana. Y si es con el conocimiento y / o la consecuencia de Rusia, entonces le dije a Putin que lo haremos responder ", dijo Biden, refiriéndose a su reunión con el líder ruso el mes pasado.

"No estamos seguros. El pensamiento inicial no era el gobierno ruso, pero aún no estamos seguros", agregó.

El ransomware parece haber sido incrustado en secreto en Kaseya VSA, lo que ayudó a difundir el software malicioso porque las empresas de gestión de TI utilizan VSA para distribuir actualizaciones de software a sus clientes., No está claro cómo se comprometió por primera vez el software de Kaseya.

Este ataque al estilo de la cadena de suministro es la misma la técnica utilizada por los piratas informáticos rusos para hackear SolarWinds, aunque en este caso el software malicioso se utilizó para secuestrar las redes de las víctimas en lugar de espiarlas.

Detalles técnicos

El 2 de julio, se utilizaron muchos servidores Kaseya VSA para implementar ransomware en el sistema de sus clientes. Aquí están los detalles de esa intrusión inicial:

1. La entrada inicial fue utilizando una vulnerabilidad Zero-Day en Kaseya VSA. Entonces, incluso si se utiliza la última versión, en el momento del ataque, los delincuentes podrían ejecutar comandos de forma remota en el dispositivo VSA. No se proporcionarán detalles técnicos sobre cómo aprovechar la vulnerabilidad hasta que el parche esté disponible. No es una buena señal que una banda de ransomware tenga un día cero en productos utilizados ampliamente por los proveedores de servicios administrados, y muestra la escalada continua de bandas de ransomware. Kaseya está preparando una actualización de software para corregir la vulnerabilidad.
2. La entrega de ransomware se realiza a través de una actualización de software falsa y automatizada mediante Kaseya VSA. El atacante detiene inmediatamente el acceso del administrador al VSA, y luego agrega una tarea llamada "Kaseya VSA Agent Hot-fix". Luego, esta actualización falsa se implementa en toda las instalación, incluso en los sistemas de los clientes de MSP, como una actualización de agente de administración falsa. Esta actualización del agente de administración es en realidad REvil ransomware.
3. Los ejecutables del ransomware se colocan en TempPath de Kaseya con el nombre de archivo agent.exe, generalmente c:\kworking\agent.exe que se obtiene desde HKLM\SOFTWARE\WOW6432Node\Kaseya\Agent\<id>.
4. El procedimiento de VSA utilizado para ejecutar el ransomware se denominó "Kaseya VSA Agent Hot-fix". Los procedimientos adicionales fueron "Archivar y purgar registros" (captura de pantalla).
5. The "Kaseya VSA Agent Hot-fix" ejecuta lo siguiente a través de LOLBAS. Se ejecuta el siguiente comando, que:
• Desactiva la supervisión en tiempo real
• Desactiva IPS
• Deshabilita la búsqueda en la nube
• Inhabilita el análisis de secuencias de comandos
• Acceso a carpetas controlado deshabilitado (función de prevención de ransomware)
• Desactiva la protección de red
• Detiene el envío de muestras a la nube
6. Por diseño, Kaseya está diseñado para permitir la administración de sistemas con privilegios de alto nivel. De modo que el ransomware puede llegar a todos los sistemas. Los atacantes enviaron una actualización del agente de administración, que se instala automáticamente en todos los sistemas administrados, lo que significa un impacto muy amplio. Además, Kaseya recomienda exclusiones de antivirus en algunas carpetas utilizadas durante la implementación de este malware.
7. Cuando "agent.exe" se ejecuta, el ejecutable legítimo de Windows Defender (MsMpEng.exe) y el payload cifrador de Sodinokibi (mpsvc.dll) son copiados en un path hardcodeado "c:\Windows" para ejecutar un DLL-sideloading.   
8. La DLL de Sodinokibi (mpsvc.dll) crea la clave HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter con varios valores relaciones a claves y configuraciones del malware.   
9. Configura el dispositivo para iniciar REvil Safe Mode con una contraseña predeterminada de 'DTrump4ever'.