SolarWinds sufrió un ciberataque hace 8 meses y es uno de los más críticos de la historia. Su alcance pudo ser masivo, pues es una proveedora de soluciones TI.
En la industria de la ciberseguridad, este tipo de incidentes informáticos se conocen como ataques a la cadena de suministro. Se ataca al proveedor, se afecta a sus clientes.
Solo 8 meses después, un nuevo ciberataque, ahora a Kaseya, otro proveedor de servicios TI administrados en remoto.
Sin entrar en una maraña técnica, una de las soluciones de Kaseya es una plataforma en la nube llamada VSA mediante la cual esta firma, con sede en Florida, permite a sus clientes actualizar y mantener sus soluciones en remoto.
El incidente se detectó el pasado viernes. En un primer momento se planteó que solo 200 firmas clientes de Kaseya se habían visto afectadas.
Una posterior nota de rescate de los criminales de REvil aducían que habían logrado cifrar más de un millón de sistemas informáticos de más de un millar de empresas en todo el mundo.
La investigación que ha hecho una firma de ciberseguridad, ESET, avanzaba pero no se sabe qué organizaciones se han podido ver afectadas por este ciberataque.
Lo que está claro y avalan los datos es que en verano suele concentrar el mayor número de ciberataques cada año.
Los ataques de REvil contra MásMóvil a mediados de la semana pasada y contra Kaseya ahora marcan el inicio de una nueva oleada de incidentes que utilizan este tipo de código dañino, cuyo propósito es cifrar los sistemas informáticos de sus víctimas para reclamar después un rescate a cambio de una herramienta que lo descifre y recobre todo a la normalidad.
Esto es todo lo que se sabe hasta ahora del ciberataque a Kaseya, uno de los más graves de 2021.
Existen algunas pistas de cómo se originó el ataque.
La firma de ciberseguridad Huntress ha comenzado sus propias pesquisas que está actualizando en directo a través de esta página web.
Las primeras valoraciones plantean la posibilidad de que el incidente arrancara con una inyección de código SQL en la pantalla para iniciar sesión en el gestor de VSA, la solución de Kaseya atacada.
Pero la brecha que podría haber disparado la magnitud del incidente es una vulnerabilidad que ya ha sido catalogada como CVE-2021-30116, y que fue detectada por un investigador del Instituto Neerlandés de Divulgación de Vulnerabilidades, el DIVD.
«Tras esta crisis, tocará preguntarse de quién ha sido culpa. Por nuestra parte, queríamos remarcar que Kaseya ha cooperado mucho. Una vez que recibió nuestras indicaciones, hemos estado en contacto constante con ellos y han cooperado. Hicieron las preguntas correctas sobre todas las cosas que no estaban claras en nuestros informes. Compartieron con nosotros sus avances en los parches para que confirmásemos que funcionaban», remarca el DIVD en un comunicado.
En la industria de la ciberseguridad es habitual que investigadores trabajen y descubran ciertas brechas en el software de terceros y que lo primero que hagan sea comunicárselo a las interesadas para que lo solucionen, antes de compartir toda la información con la comunidad.
Pero en esta ocasión no se llegó a tiempo.
El DIVD notificó la vulnerabilidad, Kaseya comenzó a trabajar en ella, y se ha constatado que REvil la aprovechó antes de que llegase el parche.
«Desafortunadamente, REvil nos ganó en el sprint final, y han podido aprovecharse de las vulnerabilidades antes de que los clientes de Kaseya pudiesen aplicar un parche», lamenta el instituto de los Países Bajos.
El ransomware llegó a los clientes de Kaseya en forma de una actualización falsa de su software, tal y como ocurriera con SolarWinds.
Esto ha sido posible porque se subió el código malicioso a los servidores de la plataforma VSA gracias a esta vulnerabilidad zero-day (aquella que todavía no ha sido subsanada, como ha sido el caso).
Lo que lo ha terminado de complicar todo es que las instalaciones del VSA de Kaseya en las infraestructuras TI de sus clientes requería que el programa tuviese unos permisos privilegiados para poder operar en sus redes —enviaban actualizaciones a sus clientes, a fin de cuentas—.
Es lo que ha explicado otra firma de ciberseguridad, Sophos, en este artículo.
Aparentemente, las excepciones que Kaseya requería para sus instalaciones es lo que ha permitido al ransomware de REvil propagarse con absoluta tranquilidad sin ser detectado.
REvil se popularizó el año pasado por ser una de las bandas que antes se abonaron al concepto de doble extorsión.
Con este fenómeno, los operadores de ransomware no solo cifran los archivos y sistemas de sus víctimas, sino que también extraen datos para poder chantajear y exigir el rescate, a cambio de recobrar a la normalidad las redes afectadas y evitar que se filtre información sensible a la red.
No siempre roban información.
REvil señaló a MásMóvil a mediados de la semana pasada y reivindicaron haber robado sus bases de datos.
La operadora española desmintió la información y aseguró que el incidente solo había afectado «a unos servidores sin importancia». También se ha visto en alguna ocasión cómo REvil juega un farol al advertir que han robado datos.
En su página en la dark net, el colectivo reclama el pago de 70 millones de dólares para que Kaseya y sus clientes puedan volver a la normalidad.
En un principio, el número de compañías afectadas superaban las 200. Las últimas informaciones hablan de 1,000 firmas. Kaseya tiene una base de clientes de 40,000 empresas.
Lo primero que ha hecho la firma ha sido apagar los servidores de su plataforma VSA que han sido los primeros en verse afectados.
Después ha publicado un programa para que sus clientes puedan detectar si han sido infectados por el ransomware aunque este no se haya visto manifestado.
ESET, por su parte, ofreció algunos pantallazos sobre cómo son los fondos de pantalla que muestran los ordenadores infectados.
La última información que dio Kaseya a última hora de este lunes es que seguían trabajando en controlar el problema.
«Todos los servidores VSA deben mantenerse apagados hasta nuevas instrucciones, que llegarán cuando sea seguro retomar operaciones. Será necesario instalar un parche antes de reiniciar VSA y se tendrán que asumir una serie de recomendaciones sobre cómo mejorar la seguridad de las redes», advertía.
Kaseya también pedía a sus clientes afectados, sobre todo aquellos que ya se habían puesto en contacto con los criminales informáticos para pagar su parte del rescate, que no pinchen bajo ningún concepto en ningún enlace.
La razón: algunas empresas podrían convertirse involuntariamente en un ‘arma’ para seguir propagando este ransomware.
La información que trasladaba Sophos sobre cómo el software de Kaseya requería de contar con excepciones y privilegios en las redes de sus clientes impone con urgencia una de las máximas de la ciberseguridad que más desoídas están: no se confia en nadie.
Muchas compañías de seguridad informática ofrecen soluciones zero-trust.
La idea de aislar las redes corporativas y fragmentarlas lo máximo posible para, en pocos palabras, evitar que por ejemplo un rasomware pueda afectar de forma unívoca e inmediata a todos los departamentos de un hospital.
La idea de no ofrecer privilegios y de aplicar esas estrategias zero-trust en las redes también conciernen a proveedores, por muy de confianza que puedan ser.
El mayor ciberataque de 2021 se ha producido, en cierto modo, porque en ciberseguridad se protege la red de redes, los cientos de miles dispositivos que hay conectados cada día. Y si uno cae, pueden caer todos.
Medios como Forbes ya hablan de una oleada de ransomware que ya se convierte en una tendencia anual, como señalan desde la firma de ciberseguridad Emsisoft.
Todos los veranos el número de incidentes relacionados con este tipo de ataques repuntan. Los ciberdelincuentes aprovechan que en épocas de estío hay menos trabajadores en las oficinas a causa de las vacaciones.
Por el momento, como Business Insider España avanzaba ayer, una de las consecuencias más gráficas del incidente que ha sufrido Kaseya es que los establecimientos de una cadena de supermercados sueca se vieron obligados a cerrar este fin de semana porque las cajas registradoras habían dejado de funcionar.
Ross Mckerchar, director de Seguridad de la Información en Sophos, ya habla de «uno de los ataques criminales de ransomware de mayor alcance» que su compañía haya visto.
«Nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significa más de 350 organizaciones afectadas».
Se está cumpliendo lo que varios expertos españoles en ciberseguridad advirtieron a este medio: los ciberataques tras la pandemia serán menos, pero causarán más estragos.
Hay compañías afectadas en países como EU, Alemania, Canadá, Australia, Reino Unido o España.
«Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual».
Hasta el siguiente.
AHORA LEE: Facebook, Google y Twitter amenazan con irse de Hong Kong debido a cambios en la ley de datos
TAMBIÉN LEE: El director ejecutivo de una empresa de ciberseguridad revela cómo responder a un ataque de ransomware y cómo negociar su rescat