REvil cesa sus operaciones después del ataque a la cadena de suministro de Kaseya

27 Julio 2021
Alto

Kaseya y REvil nuevamente han dado de qué hablar, luego del ciberataque a la cadena de suministro que informamos en nuestro boletín “REvil efectúa ataque a la cadena de suministro de Kaseya” se tienen nuevos antecedentes que permitirían especular el pago por parte de Kaseya a la banda de ransomware  para obtener un descifrador universal que permitiría a las víctimas del ataque del 2 de julio recuperar sus archivos.

Ataque de ransomware Revil

A principios de julio, los ciberdelincuentes aprovecharon las vulnerabilidades del producto VSA de Kaseya para entregar ransomware a los MSP y a sus clientes. La compañía estimó que entre 800 y 1.500 organizaciones recibieron el ransomware REvil, que encriptaba archivos en sistemas comprometidos y solicitaba a las víctimas que pagaran un rescate para recuperarlos.

 

Descifrador universal para víctimas de ataque del 2 de julio

Durante los últimos días se han dado a conocer nuevos antecedentes sobre la obtención por parte de Kaseya de un descifrador universal que hasta el momento indican ser de un “tercero de confianza”. Lo que hace unos días generaba especulaciones luego de que ciberdelincuentes también habían ofrecido un descifrador universal, inicialmente por US$ 70 millones y luego por US$ 50 millones, especulando que Kaseya pudo haber pagado a los piratas informáticos por el descifrador.

Sin embargo, el día de ayer 26 de julio, Kaseya declaró lo siguiente: “Si bien cada empresa debe tomar su propia decisión sobre si pagar el rescate, Kaseya decidió, después de consultar con expertos, no negociar con los delincuentes que perpetraron este ataque y no hemos renunciado a ese compromiso. Como tal, estamos confirmando en términos inequívocos que Kaseya no pagó un rescate, ni directa ni indirectamente a través de un tercero, para obtener el descifrador.”

En relación con la efectividad del descifrador Kaseya informa que hicieron que la herramienta fuera validada por un tercero adicional y comenzaron a entregarla a sus clientes afectados. Esto significa que disponen de una clave o herramienta que elimina el ransomware en cualquiera de los dispositivos afectados.

Según recoge CNN, Kaseya está pidiendo a los clientes afectados por REvil que firmen un acuerdo de confidencialidad para obtener la clave con la que recuperarán sus sistemas.

Revil /Sodinokibi

El 13 de julio, la infraestructura de REvil se apagó inexplicablemente y no ha vuelto a estar en línea. El sitio web basado en Tor utilizado por la banda de ransomware REvil para nombrar a las víctimas y filtrar los datos robados se cayó después del ataque a Kaseya, y todavía está fuera de línea. No se ha sabido nada de los líderes de la operación de ransomware, que se cree que residen en Rusia o sus alrededores.

"Ciertamente hemos notado que han detenido sus operaciones. No sabemos exactamente por qué", dijo a los periodistas un funcionario de la Casa Blanca el 18 de julio.

Esta situación deja planteada varias preguntas:

  •  ¿Los ciberactores detrás de Revil están silenciados mientras esperan que el calor político se apague antes de reiniciar con un nombre diferente?
  • ¿Decidieron los operadores retirarse?
  • ¿Está Rusia finalmente atendiendo los llamados de la Casa Blanca para tomar medidas enérgicas contra las operaciones de ransomware basadas dentro de sus fronteras?
  •  ¿La Casa Blanca echó a pique la infraestructura de ataque de REvil?

Un efecto secundario del derribo es que la eliminación de la negociación y la posibilidad de comprar una clave de descifrado han dejado a las víctimas con sistemas irrecuperables.

Panorama

Kaseya ha intentado minimizar el incidente, que algunos han descrito como uno de los peores ataques de ransomware de la historia, declarando que “si bien afectó a aproximadamente 50 de los clientes de Kaseya, este ataque nunca fue una amenaza ni tuvo ningún impacto en la infraestructura crítica”.  Es importante recalcar que la empresa asesorada por expertos en seguridad ha mantenido su postura de no negociación, lo que es visto como una buena estrategia con el objeto de no alentar a ataques de ransomware adicionales.

Si bien no existe una clara razón del por qué el término de las operaciones de Revil y dentro de las hipótesis estarían posibles problemas de estabilidad, lo que no es sorprendente dada la forma en que operan, da espacio a otra posibilidad que consiste en una eliminación silenciosa, similar a lo que sucedió en el caso de DarkSide, donde los piratas informáticos fueron desconectados silenciosamente. Lo que sí es seguro es que aún es demasiado pronto para celebrar, ya que otra posibilidad bastante viable es que la banda de ransomware haya decidido mantener un perfil bajo, dada toda la atención concentrada en el último tiempo.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #REVil #kaseya #Malware #Ransomware #MSP #DescifradorUniversal
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.