SEGURIDAD

CIBERAMENAZAS

Las ciberamenazas suponían que los ataques a la cadena de suministro eran exclusivamente una herramienta solo para actores de amenazas sofisticados patrocinados por el estado. Se pensaba que los recursos y conocimientos necesarios para comprometer a un proveedor de software e integrar código malicioso estaban fuera del alcance de los actores de amenazas criminales, sin embargo, en julio de 2021 esta suposición fue aplastada.

El ransomware REvil se distribuyó a través de la explotación de una vulnerabilidad previamente no identificada en el código del servidor de Kaseya VSA, una herramienta de monitoreo y administración del sistema. Los actores de amenazas abusaron de la vulnerabilidad para distribuir su código malicioso como una actualización de confianza distribuida desde el servidor comprometido a los sistemas cliente administrados por la herramienta.  

Con el agente falso malicioso instalado, el software escribe una versión legítima, pero explotable, antigua de una aplicación de Windows Defender en el disco, y finalmente la usa para ejecutar el ransomware. Por lo tanto, el disco se cifra desde una aplicación de confianza y firmada, que se ejecuta desde un directorio de confianza.

SEGURIDAD

El impacto del ataque fue más amplio de lo que podría imaginarse en un principio. Kaseya VSA se utiliza a menudo para administrar un gran número de sistemas en una amplia variedad de organizaciones. Golpear los servidores dentro de los proveedores de servicios administrados significó que un servidor violado afectó a muchas organizaciones. Detener muchas empresas significa más pagos de rescate potenciales para que los malos los cobren y, por lo tanto, será una táctica tentadora para muchos otros atacantes en el futuro.

En muchos sentidos, los actores de APT bien recursos actúan como líderes de pensamiento para el resto del panorama de amenazas, mostrando lo que un actor de amenazas ambicioso y efectivo puede lograr. Es posible que los actores criminales que llevaron a cabo el ataque de Kaseya hayan tenido algún tipo de apoyo o protección estatal, o que hayan logrado el ataque completamente a través de sus propios esfuerzos. En cualquier caso, es probable que veamos más casos de cadenas de suministro que se utilizan para distribuir malware en el futuro.

A medida que evoluciona nuestro uso de la tecnología y las capacidades de los actores de amenazas, también lo hace el panorama de amenazas que enfrentamos. En Talos, monitoreamos continuamente el panorama de amenazas, nuestra inteligencia de amenazas ayuda a impulsar la cartera de seguridad de Cisco.

Nuestros analistas de respuesta a incidentes están disponibles tanto para resolver incidentes de ciberseguridad cuando ocurren, para compartir nuestra experiencia para garantizar que las organizaciones se enfrenten a la menor cantidad de incidentes posible y para prepararse con anticipación para que los incidentes se resuelvan de manera rápida y fácil.La tecnología y las tácticas de los malos seguirán cambiando, por lo que debemos asegurarnos de que nuestras posturas seguras sean adecuadas para las amenazas a las que nos enfrentamos.