Un ataque de ransomware en julio que paralizó hasta 1.500 organizaciones al comprometer el software de gestión de tecnología de una empresa llamada Kaseya ha desencadenado una carrera entre delincuentes que buscan vulnerabilidades similares, dijeron expertos en seguridad cibernética.
Un afiliado de una de las principales pandillas de ransomware de habla rusa conocida como REvil utilizó dos fallas enormes en el software de Kaseya, con sede en Florida, para ingresar a unos 50 proveedores de servicios administrados (MSP) que usaban sus productos, dijeron los investigadores.
Ahora que los delincuentes ven cuán poderosos pueden ser los ataques de MSP, "ya están ocupados, ya se han movido y no sabemos dónde", dijo Victor Gevers, director del Instituto Holandés para la Divulgación de Vulnerabilidades, una organización sin fines de lucro, que advirtió a Kaseya. de las debilidades antes del ataque.
"Esto va a suceder una y otra vez".
Gevers dijo que sus investigadores habían descubierto vulnerabilidades similares en más MSP. Se negó a nombrar las empresas porque aún no han solucionado todos los problemas.
Los proveedores de servicios administrados incluyen empresas como IBM (NYSE: IBM ) y Accenture (NYSE: ACN ) que ofrecen versiones en la nube de software popular y firmas especializadas dedicadas a industrias específicas. Por lo general, prestan servicios a empresas pequeñas y medianas que carecen de capacidades tecnológicas internas y, a menudo, aumentan la seguridad.
Pero los MSP también son un vehículo eficiente para el ransomware porque tienen un amplio acceso dentro de muchas de las redes de sus clientes. El software de Kaseya sirve a muchos MSP, por lo que los ataques se multiplicaron antes de que Kaseya pudiera advertir a todos, cifrando rápidamente los datos y exigiendo rescates de hasta $ 5 millones por víctima.
El negocio de los MSP se ha disparado durante la pandemia de coronavirus junto con el rápido aumento del trabajo remoto.
"Ahí es donde se encuentra el acceso confiable a los sistemas de los clientes", dijo Chris Krebs, el primer líder de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU., Que ha hecho del ransomware una prioridad absoluta. "Es un enfoque mucho más económico lanzar un ataque de ruptura. Y es difícil de defender para el cliente".
Bugcrowd Inc, una de varias plataformas donde los investigadores pueden informar vulnerabilidades, también ha visto fallas de seguridad tan graves como las de Kaseya, dijo el presidente ejecutivo de Bugcrowd, Ashish Gupta, tal vez porque los MSP han estado creciendo muy rápido.
"El tiempo de comercialización es un requisito tan alto y, a veces, la velocidad se convierte en el enemigo de la seguridad", dijo Gupta.
Los proveedores de servicios han sido atacados antes, más dramáticamente por presuntos piratas informáticos del gobierno chino que persiguieron a las grandes empresas de tecnología en una serie de violaciones conocidas como Cloud Hopper. https://www.reuters.com/investigates/special-report/china-cyber-cloudhopper
REvil afectó a más de 20 municipios de Texas a través de un proveedor compartido hace dos años, pero solo exigió un rescate total de $ 2.5 millones, dijo Andy Bennett, entonces un funcionario estatal que administraba la respuesta.
Con los extorsionadores de REvil pidiendo un récord de $ 70 millones para revertir todo el daño de Kaseya, dijo, "sus aspiraciones son claramente mayores ahora, y su enfoque es más mesurado". No está claro cuánto rescate se pagó finalmente o cuántas empresas se vieron afectadas.
Un aumento en los ataques de ransomware llevó al presidente estadounidense Joe Biden a advertir al presidente ruso Vladimir Putin que Estados Unidos actuaría por su cuenta contra las peores bandas de piratas informáticos que operan en suelo ruso a menos que las autoridades las refrenaran.
El 22 de julio, Kaseya dijo que una empresa de seguridad había desarrollado una clave de descifrado universal sin pagar a los delincuentes, lo que generó especulaciones de que Putin había ayudado o que las agencias estadounidenses habían pirateado REvil.
CISA está tratando de hacer correr la voz tanto a los MSP como a sus clientes sobre los riesgos y qué hacer con ellos, dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad.
Menos de dos semanas después del ataque de Kaseya del 2 de julio, CISA emitió pautas https://www.cisa.gov/sites/default/files/publications/CISA%20Insights_Guidance-for-MSPs-and-Small-and-Mid-sized- Businesses_S508C.pdf para conocer las mejores prácticas en ambos lados de la ecuación. CISA también ofrece evaluaciones de riesgo gratuitas, pruebas de penetración y análisis de la arquitectura de la red.
"Las organizaciones deben analizar la seguridad de sus MSP", dijo Goldstein. "La consideración más amplia aquí es la importancia de que las organizaciones, grandes y pequeñas, comprendan las relaciones de confianza que tienen con aquellas entidades que tienen conexiones con su entorno".
0 Comentarios