¿Que pasó?

El 2 de julio de 2021, Kaseya VSA, un proveedor de software Remote Module Management (RMM), fue víctima de un ataque de ransomware de 70 millones de dólares. Muchos proveedores de servicios administrados como Preemo confían en software como Keseya VSA para monitorear y administrar de forma remota la infraestructura de red de sus clientes. Esto ha provocado que muchos MSP que utilizan VSA y sus clientes sean víctimas del mismo ataque de ransomware.

Es importante señalar que Preemo y sus clientes no se han visto afectados por este ataque.

¿Qué es un ataque de ransomware?

Un ataque de ransomware ocurre cuando un tercero malintencionado obtiene acceso ilegítimo a un sistema, cifra los datos en el sistema y exige alguna forma de pago de rescate para descifrar los datos en el sistema.

Por ejemplo, un pirata informático malintencionado puede obtener acceso a la red informática de su empresa. Posteriormente cifrarán datos importantes en la red informática. Estos archivos pueden incluir datos completamente necesarios para las operaciones diarias de una empresa. Luego se comunicarán con el propietario de la empresa para informarle que sus datos están bloqueados y que solo puede desbloquearlos el pirata informático que tiene la única clave de descifrado. Por supuesto, esto es cuando los piratas informáticos exigirán un pago a cambio de desbloquear los datos.

Los ataques de ransomware aparecieron en 1989 con el nacimiento de la informática personal y el uso comercial generalizado de las computadoras. El primer ataque de ransomware se dirigió a hospitales y proveedores de atención médica. De acuerdo a fortinet.com:

El primer ataque de ransomware tuvo como objetivo la industria de la salud en 1989. Un investigador del SIDA entregó 20,000 disquetes infectados a quienes asistieron a la conferencia sobre el SIDA de la Organización Mundial de la Salud. Este ataque se denominó Troyano del SIDA, pero también se conoció como el virus PC Cyborg, llamado así por el nombre ficticio de la empresa que exigía el pago: PC Cyborg Corporation. 

Los discos distribuidos contenían un programa para analizar el riesgo de una persona de contraer el SIDA, así como malware que se activaba después de que una computadora infectada se encendía 90 veces. Después de la 90ª vez, el malware ocultó directorios y cifró los nombres de todos los archivos en la unidad C mientras mostraba un mensaje exigiendo el pago. 

Y, desafortunadamente, la prevalencia y los daños causados ​​por el ransomware se han disparado desde el primer incidente de 1989. De hecho, en 2017, el FBI informó que los ciberdelincuentes habían reticulada más de mil millones de dólares por explotar a sus víctimas. Esto no tiene en cuenta la cantidad incalculable de daños causados ​​por el ransomware mientras los sistemas de las víctimas están inactivos. Para ejemplo, en 2021, el ataque de ransomware Colonial Pipeline provocó el cierre del suministro de petróleo a gran parte de la costa este de los Estados Unidos, lo que provocó una escasez de gas en todo el este de los Estados Unidos. Y, a pesar de que el ataque de ransomware provocó el cierre del oleoducto durante muchos días, lo que provocó enormes interrupciones en el negocio, Colonial terminó pagando el rescate de 4.4 millones de dólares para poder restaurar el servicio.

Desafortunadamente, una vez que se ha ejecutado este tipo de ataque, la única forma de resolverlo suele ser negociar con éxito con los piratas informáticos. Dado que son los únicos con una clave de cifrado para restaurar los datos comerciales, es muy común que las empresas simplemente paguen a los piratas informáticos el rescate que exigen para continuar con sus negocios. Estos pagos de rescate suelen ser de cientos de miles o incluso millones de dólares. 

Si bien estos ataques son, por supuesto, ilegales, y si bien las autoridades deberán participar, generalmente tienen las manos atadas en lo que respecta a ayudar a las víctimas, ya que el tipo de cifrado utilizado en los datos de la víctima simplemente no se puede descifrar sin el único descifrado. clave en poder de los piratas informáticos. En estas circunstancias, es normal que las empresas contraten firmas de consultoría boutique que ayuden a los clientes a navegar la negociación entre la víctima y la parte perpetradora.

¿Por qué ocurrió el hackeo de Kaseya?

El exploit que llevó a los piratas informáticos a obtener acceso al software de Keseya, sus clientes MSP y, posteriormente, los clientes de los MSP, fue causado por una vulnerabilidad en el proceso de autenticación de Kaseya VSA. Esto permitió a los piratas informáticos eludir las medidas de autenticación requeridas al iniciar sesión en el software VSA, lo que permitió que los piratas informáticos pudieran obtener acceso a la información en cada red de cliente administrada por el MSP.

Además, parece que las organizaciones públicas de investigación hicieron varios intentos para alertar a Kaseya de que su plataforma VSA tenía algunas vulnerabilidades. Según se informa, estas vulnerabilidades se le señalaron a Kaseya tan recientemente como en 2021. Y, aunque no ha habido un informe oficial sobre las causas detrás del ataque a la plataforma VSA, ciertamente no es una buena mirada por parte de Kaseya haber ignorado los informes legítimos. advertencias sobre las fallas de seguridad en su proceso de autenticación.

Además, es reportaron que Kaseya tuvo un pequeño éxodo de empleados después de que la gerencia continuó dando prioridad a las nuevas funciones que se integrarán en la plataforma VSA en lugar de priorizar la solución de los problemas de seguridad identificados por los empleados.

Nuevamente, es importante tener en cuenta que no todos los MSP usaban Kaseya VSA, por lo que la mayoría de los MSP (incluido Preemo) no se vieron afectados porque usaban un software diferente para la administración de red remota.

¿Qué se hizo para remediarlo?

Según Kaseya, cerraron toda la plataforma VSA para su uso dentro de las 4 horas posteriores a la detección de actividad inusual en su software. Kaseya inmediatamente comenzó a trabajar para identificar el problema y encontrar una buena solución. Y, si bien esto fue enormemente perturbador para muchos clientes de MSP, y aunque el porcentaje de clientes de Kaseya afectados por este hack es muy bajo (menos de 60 de sus 36,000 clientes), Kaseya quería limitar el número de clientes afectados por este hack cerrando su software hacia abajo por completo.

Además, dado que este ataque de ransomware es uno de los más grandes de la historia, muchas instituciones públicas, universidades y autoridades han contribuido a llegar al fondo de este ataque para ayudar a las víctimas y comprender cómo prevenirlo en el futuro. Uno de los principales investigadores que lidera la acusación para comprender el ataque Kaseya VSA es el Cazadora empresa. Echa un vistazo a su blog aquí si está interesado en leer más sobre cómo contribuyeron al proceso de corrección de ransomware para este ataque en particular.

¿Cuáles son los riesgos de un ataque de ransomware?

Si ha sido o alguna vez es víctima de un ataque de ransomware, sepa que no está solo. Cientos de ataques de ransomware afectan a empresas de todos los tamaños cada año. Y el riesgo de ataque varía según el tipo de negocio afectado. Por ejemplo, en un caso más extremo, el consultorio de un médico que pierde el acceso a los archivos de sus pacientes debido a un ataque de ransomware significa que toda la información del paciente se pierde a menos que el médico pague el rescate. Entonces, básicamente, el riesgo de un ataque de ransomware son los riesgos que conlleva la pérdida de acceso a todos los datos de su empresa. Cualquiera que sea la respuesta a esa pregunta, ese es el riesgo de un ataque de ransomware en su empresa.

Si bien los ataques de ransomware a través de los canales de distribución de software son cada vez más comunes, los ataques de ransomware pueden ocurrir, y aún lo hacen, en empresas individuales. Para el reciente ataque de Kaseya, una vulnerabilidad hizo posible que los delincuentes se aprovecharan de cientos de empresas a la vez. Sin embargo, para llevar a cabo con éxito un ataque de ransomware, los perpetradores realmente solo necesitan 1) tener acceso a los datos críticos para su negocio y 2) que usted no tenga una copia de seguridad de los datos críticos para el negocio. Si bien no hay mucho que pueda hacer para evitar ataques de software posteriores como el de Kaseya VSA, puede hacer mucho para apuntalar sus vulnerabilidades como empresa individual.

Lo mejor que puede hacer si está preocupado por un posible ataque de ransomware en su empresa es echar un vistazo rápido a las pautas oficiales de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Entre los pasos más bajos que puede tomar para evitar ataques de ransomware de acuerdo con CISA:

  • Brindar capacitación en ingeniería social y phishing a los empleados. 
    • Pídales que no abran correos electrónicos sospechosos, que no hagan clic en enlaces ni que abran archivos adjuntos contenidos en dichos correos electrónicos, y que sean cautelosos antes de visitar sitios web desconocidos.
  • Recuerde a los usuarios que cierren su navegador cuando no esté en uso.
  • Tenga un plan de informes que garantice que el personal sepa dónde y cómo denunciar actividades sospechosas.

Por qué Preemo no se vio afectado

Preemo, como muchos otros MSP, se basa en el software de administración de monitoreo remoto (RMM) para mantener remotamente la red de muchos clientes diferentes. Si bien casi todos los MSP utilizan alguna forma de este software para poder administrar las redes de sus clientes, existen muchas de estas herramientas de RMM en el mercado. Por lo tanto, el número de empresas afectadas por este ataque es relativamente bajo solo por el hecho de que la mayoría de los MSP utilizan otros proveedores de RMM además de Kaseya.

Preemo usa un RMM llamado Conectar Sabio y no Kaseya VSA. Elegimos ConnectWise en lugar de Kaseya VSA precisamente por la reputación de la industria de ConnectWise y su dedicación a la seguridad sobre las funciones. Adoptamos un enfoque de seguridad sin concesiones. No solo examinamos minuciosamente a los proveedores (como los proveedores de software de RMM) antes de firmar contratos para trabajar con ellos, sino que también vigilamos de cerca las actualizaciones de seguridad de estos proveedores para tomar decisiones sobre si queremos trabajar con ellos en el futuro en función de cómo. en serio se toman la seguridad.