Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ciberataque global del ransomware REvil afecta a miles de empresas


El peligroso grupo de origen ruso llamado REvil (Sodinokibi) que atacó exitosamente al Grupo MasMovil en España ha efectuado su plan perfecto, atacando través del software de gestión de la estadounidense (Miami, Florida) Kaseya ASV utilizando por miles de empresas en todo el mundo. Según telemetria de la compañía Eset también hay empresas víctimas de España en el ataque cadena de suministro de Kaseya VSA del Grupo Ransomware REvil . Podría ser el ataque más grave vivido hasta el momento. Podrían ser más de 1.000 empresas están afectadas en Estado Unidos y no 200 como se dijo en un primer momento. El problema es que podrían ser muchas más, Kaseya tiene hasta 40.000 clientes. En un reciente comunicado piden un rescate de 70 millones de dólares en BTC y afirman haber infectado 1 millón de sistemas. Kaseya confirma que hay entre 800 y 1.500 empresas afectadas.


Ataque cadena de suministro al software Kaseya VSA por parte del ransomware REvil deja muchas empresas afectadas



Ciberataque golpea a miles de empresas en EE.UU y en el resto del mundo

REvil -también conocido como Sodinkibi- es uno de lo grupos criminales cibernéticos más prolíficos y rentables del mundo. El grupo a fue acusada por el FBI del hackeo en mayo que paralizó las operaciones de JBS -el proveedor de carne más grande del mundo.

Basándonos en la telemetría de ESET, hay víctimas en el Reino Unido, Sudáfrica, Canadá, Alemania, EE. UU., Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauricio, Nueva Zelanda, España y Turquía 
  • Hay más de 1.000 empresas USA afectadas (inicialmente se hablaba de sólo 200) pero podrían ser muchas más.  Kaseya está presente en más de 10 países y tiene más de 40.000 clientes. 
  • Demuestran que al atacar al proveedor de software de múltiples organizaciones pueden atrapar decenas, tal vez cientos de víctimas de un solo golpe.
  • Están pidiendo un rescate 45 mil dólares por cada extensión de fichero
  • No hay exfiltración (robo) datos, sólo cifrado ficheros
  • 11 escuelas de Nueva Zelanda usan un MSP (proveedor de TI) que usa Kaseya y, por lo tanto, parece que se han visto afectadas.
  •  Por ejemplo la infección obliga cierre 500 de los 800 supermercados Suecos Coop

Cientos de supermercados paralizados en Suecia por el ataque informático a Kaseya

En mundo global  el ataque de ransomware a una empresa estadounidense interrumpe el 20% de la capacidad minorista de alimentos, las farmacias, la venta de boletos de tren de Suecia y ni siquiera son clientes directos.

Coop en Suecia ha confirmado a la BBC que se han visto afectados por la situación de Kaseya, aunque no son clientes de Kaseya, y han cerrado cientos de tiendas en Suecia desde ayer por la noche. Esto se debe a que han perdido sus instalaciones de punto de venta, que son administradas por una empresa que es cliente de Kaseya.


Estas tiendas representan aproximadamente el 20% del mercado minorista de alimentos de Suecia. Apotek Hjärtat, que tampoco es cliente de Kaseya, que administra más de 390 farmacias en Suecia, también ha confirmado que no puede aceptar pagos debido a este incidente. SJ, el operador ferroviario de propiedad del gobierno en Suecia que casi tiene el monopolio de los servicios ferroviarios, tampoco tiene facilidades de pago en las terminales de punto de venta en los trenes; también confirmaron que no son clientes de Kaseya, pero han sido afectados a través de la cadena de suministro.

El ministro de Defensa sueco, Peter Hultqvist, ha comentado sobre el hackeo: “Es muy peligroso porque afecta la vida cotidiana de las personas ... 

Las cajas registradoras y de autoservicio han dejado de funcionar.

Terminales de punto de venta de Coop afectados



¿Qué es Kaseva ASV?



El objetivo del ataque fue la compañía de tecnología informática Kaseya, con base en Florida, y luego se extendió por las redes corporativas que usan su software. La firma Kaseya reconoció que una de sus aplicaciones que administra servidores corporativos, computadoras de escritorio y dispositivos en red pudo haber estado comprometida en el ataque. 

Vende sus productos a proveedores de servicios administrados (MSP), que a su vez brindan servicios de TI remotos a cientos de empresas de menor tamaño que no tienen los recursos para realizar esos procesos internamente.

Los MSP utilizan la plataforma en la nube VSA de Kaseya para ayudar a administrar y enviar actualizaciones de software a sus clientes, así como para administrar otras cuestiones de los usuarios. El uso generalizado de VSA es exactamente lo que ha permitido a los piratas informáticos explotarlo y supuestamente infectar a multitud de empresas

 Kaseya, una empresa de software que brinda servicios a más de 40.000 organizaciones en todo el mundo y confirmó que su plataforma de administración de sistemas, llamada VSA, sufrió un "sofisticado" ciberataque que se realizó se propagó a través de una actualización maliciosa de de Kaseya VSA, plataforma utilizada por múltiples proveedores de servicios gestionados (MSP).

Es decir que se trata de un ataque a la cadena de suministro a través de Kaseya VSA, un software tipo Managed Service Provider (MSP) para control remoto y patching



Ejemplo nota rescate grupo REvil



¿Qué es un ataque cadena de suministro?

Ataque Suministro de Cadena (Supply Chain Attacks)


Un ataque a la cadena de suministro se produce cuando el software es creado y publicado por proveedores de confianza. Estas aplicaciones y actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que se requieran actualización.


Respuesta de Estados Unidos

La Agencia de Estados Unidos para la Seguridad Cibernética y la Infraestructura (CISA) dijo en su propio sitio web que estaba tomando medidas "para comprender y abordar el reciente ataque de ransomware" contra el programa VSA de Kaseya y múltiples proveedores de servicios. Según Huntress Labs, "alrededor de 200 (solo contando EEUU) empresas fueron tomadas como blanco por los delincuentes", sin que el grupo especifique su tamaño o sector de actividad, aunque el número seguirá creciendo con las horas. 

El presidente Joe Biden dijo que el gobierno de EE. UU. No está seguro de quién está detrás del ataque, pero ha ordenado a las agencias federales que ayuden en la respuesta.


"El hecho es que le ordené a la comunidad de inteligencia que me diera una inmersión profunda sobre lo que sucedió y lo sabré mejor mañana. Y si es con el conocimiento y / o la consecuencia de Rusia, entonces le dije a Putin que lo haremos responder ", dijo Biden, refiriéndose a su reunión con el líder ruso el mes pasado.

"No estamos seguros. El pensamiento inicial no era el gobierno ruso, pero aún no estamos seguros", agregó.

El ransomware parece haber sido incrustado en secreto en Kaseya VSA, lo que ayudó a difundir el software malicioso porque las empresas de gestión de TI utilizan VSA para distribuir actualizaciones de software a sus clientes., No está claro cómo se comprometió por primera vez el software de Kaseya.

Este ataque al estilo de la cadena de suministro es la misma la técnica utilizada por los piratas informáticos rusos para hackear SolarWinds, aunque en este caso el software malicioso se utilizó para secuestrar las redes de las víctimas en lugar de espiarlas.

Detalles técnicos

El 2 de julio, se utilizaron muchos servidores Kaseya VSA para implementar ransomware en el sistema de sus clientes. Aquí están los detalles de esa intrusión inicial:

  1. La entrada inicial fue utilizando una vulnerabilidad Zero-Day en Kaseya VSA. Entonces, incluso si se utiliza la última versión, en el momento del ataque, los delincuentes podrían ejecutar comandos de forma remota en el dispositivo VSA. No se proporcionarán detalles técnicos sobre cómo aprovechar la vulnerabilidad hasta que el parche esté disponible. No es una buena señal que una banda de ransomware tenga un día cero en productos utilizados ampliamente por los proveedores de servicios administrados, y muestra la escalada continua de bandas de ransomware. Kaseya está preparando una actualización de software para corregir la vulnerabilidad.
  2. La entrega de ransomware se realiza a través de una actualización de software falsa y automatizada mediante Kaseya VSA. El atacante detiene inmediatamente el acceso del administrador al VSA, y luego agrega una tarea llamada "Kaseya VSA Agent Hot-fix". Luego, esta actualización falsa se implementa en toda las instalación, incluso en los sistemas de los clientes de MSP, como una actualización de agente de administración falsa. Esta actualización del agente de administración es en realidad REvil ransomware.
  3. Los ejecutables del ransomware se colocan en TempPath de Kaseya con el nombre de archivo agent.exe, generalmente c:\kworking\agent.exe que se obtiene desde HKLM\SOFTWARE\WOW6432Node\Kaseya\Agent\<id>.
  4. El procedimiento de VSA utilizado para ejecutar el ransomware se denominó "Kaseya VSA Agent Hot-fix". Los procedimientos adicionales fueron "Archivar y purgar registros" (captura de pantalla).
  5. The "Kaseya VSA Agent Hot-fix" ejecuta lo siguiente a través de LOLBAS. Se ejecuta el siguiente comando, que:
    • Desactiva la supervisión en tiempo real
    • Desactiva IPS
    • Deshabilita la búsqueda en la nube
    • Inhabilita el análisis de secuencias de comandos
    • Acceso a carpetas controlado deshabilitado (función de prevención de ransomware)
    • Desactiva la protección de red
    • Detiene el envío de muestras a la nube
  6. Por diseño, Kaseya está diseñado para permitir la administración de sistemas con privilegios de alto nivel. De modo que el ransomware puede llegar a todos los sistemas. Los atacantes enviaron una actualización del agente de administración, que se instala automáticamente en todos los sistemas administrados, lo que significa un impacto muy amplio. Además, Kaseya recomienda exclusiones de antivirus en algunas carpetas utilizadas durante la implementación de este malware.
  7. Cuando "agent.exe" se ejecuta, el ejecutable legítimo de Windows Defender (MsMpEng.exe) y el payload cifrador de Sodinokibi (mpsvc.dll) son copiados en un path hardcodeado "c:\Windows" para ejecutar un DLL-sideloading.   
  8. La DLL de Sodinokibi (mpsvc.dll) crea la clave HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter con varios valores relaciones a claves y configuraciones del malware.   
  9. Configura el dispositivo para iniciar REvil Safe Mode con una contraseña predeterminada de 'DTrump4ever'. 
"De acuerdo a la nota de ransomware y la URL TOR se cree que un integrante del grupo de delincuentes informáticos conocido como REvil o Sodinokibi está detrás de estas intrusiones", dijo Huntress Labs en un nota publicada en Reddit, junto a los IoCs conocidos.   


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.