REvil ransomware golpea a 200 empresas

Iniciado por Dragora, Julio 02, 2021, 08:14:57 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Un ataque masivo de ransomware REvil afecta a múltiples proveedores de servicios administrados y a sus clientes a través de un ataque a la cadena de suministro de Kaseya informado.

A partir de esta tarde, la banda de ransomware REvil apuntó a aproximadamente ocho grandes MSP, con miles de clientes, a través de lo que parece ser un ataque a la cadena de suministro de Kaseya VSA.

Kaseya VSA es una plataforma MSP basada en la nube que permite a los proveedores realizar la administración de parches y el monitoreo de clientes para sus clientes.

John Hammond de Huntress Labs le ha dicho a BleepingComputer que todos los MSP afectados están usando Kaseya VSA y que tienen pruebas de que sus clientes también están siendo encriptados.

"Tenemos 3 socios de Huntress que se ven afectados con aproximadamente 200 empresas cifradas", dijo Hammond a BleepingComputer.

Kasey emitió un aviso de seguridad en el sitio de su mesa de ayuda advirtiendo a todos los clientes de VSA que apagaran inmediatamente su servidor VSA para evitar la propagación del ataque mientras investigan.

"Estamos experimentando un ataque potencial contra el VSA que se ha limitado a una pequeña cantidad de clientes en las instalaciones solo a las 2:00 PM EDT de hoy.

Estamos en el proceso de investigar la causa raíz del incidente con mucha precaución,  pero le recomendamos que apague INMEDIATAMENTE su servidor VSA hasta que reciba una nueva notificación de nuestra parte .

Es fundamental que haga esto de inmediato, porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA ".

En una declaración a BleepingComputer, Kaseya declaró que han cerrado sus servidores SaaS y están trabajando con otras firmas de seguridad para investigar el incidente.

La mayoría de los ataques de ransomware a gran escala se llevan a cabo a altas horas de la noche durante el fin de semana, cuando hay menos personal para monitorear la red.

Como este ataque ocurrió al mediodía de un viernes, probablemente se planeó que coincidiera con el fin de semana del 4 de julio en los EE. UU., Donde es común que el personal tenga un día de trabajo más corto antes de las vacaciones.

El ataque del mal se propagó a través de la actualización automática

Tanto John Hammond de Huntress como Mark Loman de Sophos le han dicho a BleepingComputer que los ataques a los MSP parecen ser un ataque a la cadena de suministro a través de Kaseya VSA.

Según Hammond, Kaseya VSA colocará un archivo agent.crt en la carpeta c: \ kworking, que VSA utiliza para las actualizaciones. Luego, se inicia un comando de PowerShell para decodificar el archivo agent.crt utilizando el comando legítimo certutil.exe de Windows y extraer un archivo agent.exe en la misma carpeta.

Comando de PowerShell para ejecutar el ransomware REvil
Fuente: Reddit

El agent.exe está firmado con un certificado de "PB03 TRANSPORT LTD" e incluye un "MsMpEng.exe" y un "mpsvc.dll" incrustados, siendo la DLL el cifrador REvil.

Archivo agent.exe firmado

MsMPEng.exe se utiliza como LOLBin para iniciar la DLL y cifrar el dispositivo a través de un ejecutable de confianza.

El agent.exe extrae y ejecuta recursos incrustados

Algunas de las muestras agregan claves del Registro de Windows con carga política y cambios de configuración a las computadoras infectadas.

Por ejemplo, una muestra de [ VirusTotal ] instalada por BleepingComputer agrega la  clave HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter para almacenar información de configuración del ataque.

Vitali Kremez de Advanced Intel le dijo a BleepingComputer que otra muestra está configurando el dispositivo para iniciar REvil Safe Mode con una contraseña predeterminada de ' DTrump4ever '.

Huntress continúa brindando más información sobre el ataque en un hilo de Reddit .

Pandilla de ransomware exige un rescate de $ 5 millones

Una muestra del ransomware REvil utilizado en uno de estos ataques se ha compartido con BleepingComputer. Sin embargo, se desconoce si esta es la muestra utilizada para cada víctima o si cada MSP recibió su propia demanda de rescate.

La banda de ransomware exige un rescate de $ 5,000,000 para recibir un descifrador de una de las muestras.


Demanda de rescate

Si bien se sabe que REvil roba datos antes de implementar el ransomware y los dispositivos de cifrado, se desconoce si los atacantes exfiltraron algún archivo.

Los MSP son un objetivo de gran valor para las bandas de ransomware, ya que ofrecen un canal fácil para infectar a muchas empresas a través de una sola brecha, pero los ataques requieren un conocimiento profundo sobre los MSP y el software que utilizan.

REvil tiene un afiliado bien versado en la tecnología utilizada por los MSP, ya que tienen un largo historial de dirigirse a estas empresas y al software que utilizan habitualmente.

En junio de 2019, un  afiliado de REvil apuntó a los MSP a través de Escritorio remoto  y luego utilizó su software de administración para enviar instaladores de ransomware a todos los puntos finales que administran.

Se cree que este afiliado trabajó anteriormente  con GandCrab , quien también realizó con éxito ataques contra MSP en enero de 2019.

Esta es una historia en desarrollo y se seguirá actualizando.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta