El CISA y el FBI comparten pautas para las víctimas del ataque de ransomware Kaseya

CISA y la Oficina Federal de Investigaciones (FBI) han compartido pautas para los proveedores de servicios administrados (MSP) y sus clientes afectados por el ataque de ransomware de la cadena de suministro REvil que afecta a los sistemas de la plataforma MSP basada en la nube. Kaseya.

Las dos agencias federales aconsejan a los MSP afectados por el ataque REvil del viernes que verifiquen sus sistemas en busca de signos de compromiso utilizando una herramienta de detección proporcionada por Kaseya durante el fin de semana y habiliten la autenticación multifactor (MFA) en tantas cuentas como sea posible.

Además, los MSP también deben implementar listas blancas para restringir el acceso a sus recursos internos y asegurar la interfaz de administración de sus herramientas de monitoreo remoto mediante firewalls o VPN.

La lista completa de recomendaciones compartidas por CISA y el FBI para los MSP interesados ​​incluye:

  • Descargar el Herramienta de detección Kaseya VSA. Esta herramienta analiza un sistema (servidor VSA o punto final administrado) y determina si existen indicadores de compromiso (IoC).
  • Habilite y aplique la autenticación multifactor (MFA) en cada cuenta que esté bajo el control de su organización y, en la mayor medida posible, habilite y aplique la autenticación multifactor para los servicios de cara al cliente.
  • Implementar la lista blanca para limitar la comunicación con las funciones de gestión y supervisión remotas (RMM) a pares de direcciones IP o conocidos
  • Coloque las interfaces administrativas de RMM detrás de una red privada virtual (VPN) o un firewall en una red administrativa dedicada.

Se recomienda a los clientes de MSP afectados por el ataque que utilicen y apliquen MFA siempre que sea posible y que protejan sus copias de seguridad colocándolas en sistemas de espacio de aire.

CISA y el FBI aconsejan a los clientes de MSP interesados ​​que:

  • Asegúrese de que las copias de seguridad estén actualizadas y almacenadas en una ubicación fácilmente recuperable, aislada de la red de la organización;
  • Vuelva a un proceso de administración de parches manual que siga las pautas de solución de problemas del proveedor, incluida la instalación de nuevos parches a medida que estén disponibles;
  • Implemente la autenticación multifactor y el principio de privilegio mínimo en las cuentas de administrador de los recursos clave de la red.
Índice de contenidos()

    CISA y FBI involucrados en el proceso de gestión de incidentes

    Las dos agencias federales están involucradas en el proceso de gestión de incidentes en todo el mundo para los clientes de Kaseya afectados y están instando a todos los MSP afectados y sus clientes a seguir las pautas compartidas anteriormente.

    "Debido a la escala potencial de este incidente, es posible que el FBI y CISA no puedan responder a cada víctima individualmente, pero cualquier información que recibamos será útil para contrarrestar esta amenaza", dijo el FBI en un comunicado. Declaración oficial lanzado el fin de semana.

    Hoy, el Consejo de Seguridad Nacional de la Casa Blanca también pidió a las víctimas de este ataque a la cadena de suministro a gran escala que informaran del incidente al Centro de denuncias de delitos en Internet.

    También se recomendó a las víctimas que siguieran las instrucciones proporcionadas por Kaseya, incluido el cierre de los servidores VSA y la implementación de técnicas de mitigación CISA y FBI.

    REvil golpea a los clientes de Kaseya en el mayor ataque de ransomware de la historia

    El ataque masivo de ransomware REvil afectó a múltiples proveedores de servicios administrados que utilizan la plataforma MSP basada en la nube de Kaseya para la administración de parches y el monitoreo de clientes para sus clientes.

    En total, más de 1,000 clientes de 20 MSP cifraron sus sistemas en el ataque cuidadosamente planeado para su lanzamiento al mediodía del viernes, en línea con el fin de semana del 4 de julio de EE. UU., Cuando es común que el personal tenga días laborales más cortos.

    Para piratear los servidores VSA locales de Kaseya, el afiliado de REvil detrás del ataque utilizó una vulnerabilidad de día cero (CVE-2021-30116).

    Como BleepingComputer descubrió más tarde, Kaseya estaba en proceso de parcheo después de que investigadores del Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) informaran de manera privada.

    Sin embargo, la filial de REvil tuvo en sus manos los detalles de la vulnerabilidad y pudo explotarla antes de que Kaseya pudiera comenzar a brindar una solución validada a sus clientes.

    El grupo de ransomware REvil afirma haber cifrado más de 1,000,000 de sistemas y solicitó por primera vez $ 70 millones para un descifrador universal para descifrar a todas las víctimas de los ataques de Kaseya. Sin embargo, hoy en día, sus operadores han bajó el precio a $ 50 millones.

    Esta es la nota de rescate más alta hasta la fecha, el récord anterior también pertenecía a REvil, que había pedido 50 millones de dólares después de atacar al fabricante taiwanés de electrónica y computadoras Acer.

    Esta no es la primera vez que REvil ransomware se ha utilizado en ataques dirigidos a los MSP, y al menos uno de sus afiliados conoce la tecnología utilizada por los MSP, ya que ya la han aprovechado en incidentes anteriores.

    En junio de 2019, una de las afiliadas de REvil apuntó a los MSP a través de Escritorio remoto utilizando su software de administración para entregar instaladores de ransomware a todos los puntos finales de los clientes que administraban.

    También se cree que el mismo afiliado ya trabajó con GandCrab en ataques que comprometieron las redes MSP en enero de 2019.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir