Kaseya, un año después: ¿Qué hemos aprendido?

los Secuestro de datos Nota le informa que sus archivos están retenidos como rehenes y están «cifrados y actualmente no disponibles». Supuestamente, todas las extensiones de archivo se han cambiado a .csruj. Los secuestradores exigen el pago a cambio de una clave de descifrado. Se ofrece un «obsequio»: una clave de descifrado de archivos de un solo uso como gesto de buena fe para demostrar que la clave de descifrado funciona.

Los operadores agregan (ortografía sin cambios):

“Es solo un negocio. Absolutamente no nos preocupamos por usted y sus ofertas, excepto obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie no cooperará con nosotros. No es de nuestro interés. Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero”.

Descripción basic del ataque del ransomware Kaseya

El viernes 2 de julio de 2021, kaseya limitada, un desarrollador de software program para infraestructura de TI que proporciona monitoreo de administración remota (RMM), descubrió que estaban siendo atacados y cerraron sus servidores. Kaseya y el FBI describieron lo que sucedió más tarde como un «ataque de ransomware de la cadena de suministro» bien coordinado que aprovecha una vulnerabilidad en el software program de Kaseya contra múltiples MSP (proveedores de servicios administrados) y sus clientes.

Específicamente, los atacantes lanzaron una actualización de software program falsa a través de una vulnerabilidad de omisión de autenticación que propagó malware a través de los clientes de MSP de Kaseya a sus empresas intermedias.

El grupo REvil con sede en Rusia se atribuyó la responsabilidad el 5 de julio de 2021 y exigió 70 millones de dólares a cambio de descifrar todos los sistemas afectados. Pero cuando la demanda de rescate de REvil llegó a sus víctimas, muchas empresas ya habían restaurado sus sistemas a partir de copias de seguridad. Algunas víctimas ya habían negociado sus propios rescates individuales, supuestamente pagando entre $40,000 y $220,000.

Kaseya anunció el 23 de julio de 2021 que había adquirido una clave de descifrado common de un «tercero de confianza» no identificado y que la estaba ofreciendo a los clientes.

Según lo informado por Reuters el 21 de octubre de 2021, los servidores de REvil fueron pirateados y forzados a desconectarse. Tom Kellermann, jefe de seguridad cibernética de VMware, dijo: “El FBI, junto con el Comando Cibernético, el Servicio Secreto y países afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos”. Kellermann, asesor del Servicio Secreto de EE. UU. en investigaciones de delitos cibernéticos, agregó: “REvil estaba en lo más alto de la lista”.

El pasado enero de 2022, el Servicio de Seguridad Federal de Rusia dijo que habían desmantelado REvil y acusó a varios de sus miembros tras recibir información de EE.UU.

‘El tiempo es más valioso que el dinero.’

Los ciberdelincuentes en ciernes pueden comenzar su negocio en el hogar con unos pocos clics y una pequeña inversión financiera. Ransomware como servicio (RaaS) está en camino de convertirse en la plataforma de advertising multinivel de más rápido crecimiento en el mundo.

Importante operadores proporcionar ransomware están agrupando todas las herramientas necesarias para llevar a cabo estos ataques. Todas las herramientas cibernéticas, la documentación e incluso los movies instructivos, el acceso a un tablero y, a veces, hasta el 80% de la comisión por los rescates exitosos recibidos se proporcionan a cambio de una tarifa plana mensual o una suscripción de afiliado. Los afiliados reciben crédito por sus ataques a través de identificaciones únicas incrustadas en el malware que usan.

Dado que muchos ataques cibernéticos no se revelan por completo, es difícil evaluar con precisión el impacto financiero que tiene el ransomware en las empresas, pero, según el Informe de delitos en Web 2021el IC3 recibió 847.376 denuncias en 2021 sobre todos los delitos en Web, con pérdidas que ascienden a 6.900 millones de dólares.

Un informe reciente de Coveware indica que el caso promedio de ransomware en el cuarto trimestre de 2021 duró 20 días. El informe también muestra que el costo más grave del ransomware está asociado con la interrupción del negocio. Incluso si su organización tiene copias de seguridad que utiliza para restaurar lo que se ha perdido, pueden pasar días antes de que los sistemas vuelvan a funcionar, lo que puede tener un impacto operativo, financiero y de reputación significativo.

Numerosas encuestas describen la falla en las comunicaciones entre los profesionales de ciberseguridad y las acciones tomadas, o no tomadas, por el C-suite. Pero hay indicios de que las prácticas de desarrollo de software program comercial están mejorando. Una encuesta reciente de GitLab indica que las canalizaciones de software program automatizadas están descubriendo vulnerabilidades de seguridad antes de que se envíe el código. A medida que DevOps se desplaza cada vez más hacia la izquierda, también se están produciendo algunos cambios de mentalidad.

Guía de mitigación y endurecimiento

Los identificadores integrados permiten al proveedor de RaaS identificar de forma remota a sus afiliados y pagar sus comisiones. Pero esos identificadores también brindan a los investigadores una forma de conectar directamente ataques individuales con campañas más amplias.

“Si bien la industria ha seguido integrando la seguridad en el desarrollo y las organizaciones están comenzando a mejorar la seguridad en basic, nuestra investigación muestra que se requiere una delimitación más clara de las responsabilidades y la adopción de nuevas herramientas para cambiar completamente la seguridad”, dijo Johnathan Hunt, vicepresidente. de seguridad en GitLab. “En el futuro, esperamos ver que los equipos de seguridad encuentren más formas de establecer expectativas claras para los demás miembros de su organización y continúen adoptando tecnologías innovadoras para escanear y revisar códigos para mejorar la velocidad y la calidad de los ciclos de desarrollo”.

El Instituto Nacional de Estándares y Tecnología (NIST) publicó Defensa contra ataques a la cadena de suministro de software program en abril de 2021. El informe destaca las técnicas de ataque comunes y las acciones que los defensores de la pink deben tomar para mitigar los componentes de software program vulnerables.

Las recomendaciones del NIST incluyen un programa de gestión de vulnerabilidades que permite a la organización buscar, identificar, clasificar y luego mitigar las vulnerabilidades. El programa de gestión de vulnerabilidades de una organización debe incluir procesos y herramientas para aplicar parches de software program, según sea necesario.

Los defensores de la pink deben utilizar la gestión de configuración y la automatización de procesos para realizar un seguimiento de los productos y servicios que utiliza la empresa y los proveedores que los proporcionan. Mantenerse actualizado con los cambios (parches, nuevas versiones, eventos de fin de vida útil, and so forth.) para cada producto o servicio es un desafío, pero fundamentalmente necesario.

Ataques RaaS continuará y, según todos los informes, se volverán más eficientes. Evitar que su empresa pierda datos, recursos, tiempo y dinero requerirá private capacitado y vigilancia.