Visión general

Este artículo discutirá información relacionada con el ataque de ransomware a la cadena de suministro de Kaseya VSA y los pasos que Cato ha tomado para asegurar que nuestros clientes permanezcan protegidos.

A partir del 7 de julio de 2021, todos los IOC conocidos relacionados con el ataque de ransomware de Kaseya VSA han sido implementados dentro de la Plataforma de Inteligencia de Amenazas de Cato. Cualquier tráfico que coincida con este perfil (o similar) será bloqueado activamente por nuestro IPS.

Antecedentes

A partir del 3 de julio de 2021, múltiples organizaciones y Proveedores de Servicios Gestionados (MSP) han sido atacados por el ransomware REvil (también conocido como Sodinokibi). Esto se ha realizado en un ataque a la cadena de suministro centrado en el software Kaseya VSA. Este ataque ha llevado a Kaseya a instar a los clientes a apagar sus servidores VSA para evitar que sean comprometidos.

REvil (frecuentemente detectado por los sistemas de protección contra amenazas como Ransom.Sodinokibi) es una familia de ransomware utilizada en ataques dirigidos. Los atacantes intentarán cifrar todas las computadoras en la red de la víctima, impidiendo el acceso a archivos o datos a menos que se pague una gran suma de dinero.

Impacto

Una vez que la computadora objetivo se ha infectado con el ransomware Sodinokibi, el acceso administrativo es deshabilitado y el código malicioso comenzará a cifrar los datos. Este es el paso inicial antes de que se demande el 'rescate'.

Una vez completado el proceso de cifrado, el fondo de escritorio del sistema se establece en una imagen que indica "Todos tus archivos están cifrados", con un enlace a un archivo readme que detalla cómo restaurar el acceso a la máquina.  Cada máquina infectada está cifrada con una Clave Privada única para ese anfitrión, que se utiliza en el proceso de descifrado del ransomware. Esta táctica asegura que la recuperación de datos mediante medios tradicionales incurre en un elemento de corrupción de la clave privada y pérdida permanente de datos.

En el caso de que una máquina se infecte con este ransomware, los datos no serán accesibles (o extraíbles) del dispositivo a menos que se haya pagado un rescate.

¿Qué está haciendo Cato?

Los Analistas de Seguridad en Cato Networks están trabajando incansablemente para identificar, localizar y mitigar cualquier potencial vulnerabilidad o exposición que nuestros clientes puedan tener a esta amenaza. 

• Después de utilizar un análisis forense de los perfiles de tráfico de los Clientes de Cato, hemos identificado varios clientes que actualmente utilizan productos de Kaseya. 
• Nuestro análisis preliminar no muestra evidencia de infección en nuestra base de clientes. Esto se basa en los Indicadores de Compromiso (IOC) publicados en la naturaleza relacionados con el ataque).
• Cato Networks ha añadido todos los IOC relacionados con este ataque a nuestra Plataforma de Inteligencia de Amenazas. Esto asegurará que cualquier tráfico de este tipo sea bloqueado por nuestro IPS. 
• Se recomienda que cualquier cliente que utilice productos de Kaseya siga el asesoramiento continuo de Kaseya.

Esta situación está evolucionando actualmente dentro del panorama de TI, y Cato Networks está monitoreando e investigando activamente la situación para asegurar que nuestros clientes permanezcan protegidos.