REvil ransomware: lecciones aprendidas de un importante ataque a la cadena de suministro

Análisis de malware

REvil ransomware: lecciones aprendidas de un importante ataque a la cadena de suministro

5 de octubre de por Greg Belding

Uno de los ataques de ransomware recientes más populares involucró a la banda de ransomware REvil aprovechando fallas de seguridad dentro de Kaseya VSA para iniciar uno de los ataques de ransomware más grandes de la historia. Por muy ingenioso que fuera este plan, pocas organizaciones pagaron el dinero del rescate para recuperar sus archivos. ¿Por qué uno de los mayores ataques de ransomware de la historia tuvo un nivel de rendimiento tan bajo?

¿Cómo ocurrió el ataque del ransomware REvil?

El 2 de julio de, REvil lanzó un ataque masivo de ransomware contra aproximadamente 1500 empresas y las cifró todas de una sola vez. El ataque de REvil se centró en Kaseya VSA, una solución de gestión remota utilizada por proveedores de servicios gestionados, o MSP, para gestionar los servicios y el soporte de sus clientes. Kaseya se puede implementar como SaaS basado en la nube o mediante un servidor local. REvil se centró en los servidores locales y utilizó una vulnerabilidad de día cero para infectar 60 MSP. Kaseya mantiene sus derechos de administrador en los sistemas cliente, lo que significa que una vez que el MSP está infectado, sus sistemas cliente se infectan.

El resultado de esto fue un ataque de ransomware a nivel mundial que afectó principalmente al sector minorista y a cualquier otro sector lo suficientemente desafortunado como para depender de los MSP que utilizan Kaseya VSA para administrar los sistemas de sus clientes. Por ejemplo, Coop es una cadena de tiendas minoristas y de comestibles en Suecia que tuvo que cerrar 800 tiendas porque sus dispositivos de punto de venta (PoS) usaban Kaseya y el ransomware dejó fuera de servicio sus dispositivos PoS. Este es sólo un ejemplo, pero muestra la amplitud del alcance de este ataque de ransomware.

Esto puede llevarle a pensar que este ataque de ransomware fue uno de los más costosos en la historia de los ataques de ransomware, pero no tan rápido. Resulta que a pesar del amplio alcance de este ataque de ransomware, solo dos empresas han pagado a la banda de ransomware REvil para cifrar sus archivos. Es probable que esto genere muchas preguntas, y las lecciones aprendidas que se presentan a continuación ayudarán a llenar los vacíos de esta historia y le mostrarán por qué este ataque históricamente amplio terminó siendo un fracaso para el grupo de ransomware.

Conclusiones del ataque del ransomware REvil Kaseya

Este ataque de ransomware contiene algunas lecciones que beneficiarán a muchas organizaciones. También puede servir como un buen “momento de enseñanza” sobre lo que sucede cuando se hacen las cosas de manera incorrecta, tanto por parte de la pandilla de ransomware como también por parte de Kaseya VSA. A continuación se muestran las lecciones que podemos extraer de ello.

No te alejes demasiado de lo probado y verdadero

Posiblemente la lección más sorprendente que se puede aprender del ataque del ransomware REvil a los sistemas de los clientes de Kaseya es que se desvían de las tácticas y procedimientos probados y verdaderos. El más importante de los cuales en este caso fue el robo de datos y la eliminación de copias de seguridad de datos. Normalmente, los ataques de ransomware implican demostrar que los datos de la organización objetivo han sido robados (y que se han eliminado las copias de seguridad). Esto tiene como objetivo brindar a la organización un incentivo sólido para pagar el rescate y recuperar el acceso a sus datos. En cambio, el ataque del ransomware REvil no robó datos ni eliminó las copias de seguridad de los datos del cliente objetivo.

Otros cambios en el manual de ataque estándar de ransomware son que REvil no tenía acceso ilimitado a las redes de las víctimas y dependía de la automatización para eliminar las copias de seguridad de los clientes. Cabe señalar que este método no funcionó y las copias de seguridad no se eliminaron.

Esta desviación de las tácticas y procedimientos estándar de ataque de ransomware fue la mayor salvación para las organizaciones afectadas. Dos organizaciones pagaron, y una víctima pagó 200 dólares para devolver sus datos cifrados. Sin embargo, eso es todo. No seguir este paso de ransomware probado y verdadero significó que el grupo de ransomware no tenía mucha influencia sobre sus víctimas.

Escuche los informes de vulnerabilidad

Kaseya VSA técnicamente no tiene las manos limpias aquí, ya que fueron notificados con mucha antelación sobre las vulnerabilidades en su VSA y solo tomaron medidas parciales para solucionarlas. En abril de, el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVID) informó siete vulnerabilidades a Kaseya. Estas vulnerabilidades fueron:

La respuesta de Kasey implicó parchear su VSA SaaS pero no su versión del servidor local. Si bien los investigadores no han podido determinar con 100% de certeza, se cree que se utilizó una combinación de CVE–30116, “”30119 y “”301/p>

No descuides tus copias de seguridad

Los investigadores que investigan el ataque del ransomware REvil han notado que, para empezar, las organizaciones que pagaron el dinero del rescate tenían copias de seguridad deficientes. Puede parecer un poco “Seguridad de la información 101”. Aun así, cabe destacar que contar con un sólido plan de copia de seguridad de datos ayudará a evitar que su organización tenga que pagar el rescate después de un ataque similar. Recuerde, REvil en realidad no eliminó ninguna copia de seguridad, por lo que las organizaciones afectadas simplemente tuvieron que restaurar desde la última copia de seguridad para recuperar la gran mayoría de sus datos.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Lecciones aprendidas de los ataques de ransomware REvil

El ataque de ransomware REvil a los sistemas de clientes de Kaseya VSA no tuvo precedentes y afectó a 60 MSP y 15.000 organizaciones de clientes. A pesar de este tamaño, sólo dos organizaciones pagaron el rescate que exigía REvil. Este caso debería servir como un momento de enseñanza para todos sobre lo que sucede cuando se pasa por alto lo básico.

Fuentes