Día de la Independencia: REvil utiliza la explotación de la cadena de suministro para atacar a cientos de empresas‎

234 views

Día de la Independencia: REvil utiliza la explotación de la cadena de suministro para atacar a cientos de empresas‎

 

‎Por ‎‎ ‎‎Mark Loman‎‎Sean Gallagher‎‎Anand Ajjan‎‎ ‎

‎El 2 de julio, mientras que muchas empresas tenían personal ya fuera o preparándose para un fin de semana largo de vacaciones, un afiliado del grupo ransomware REvil lanzó un gambito de extorsión criptográfica generalizada. Utilizando una vulnerabilidad del servicio de administración remota VSA de ‎‎Kaseya,‎‎ los actores de REvil lanzaron un paquete de actualización malicioso que se dirigió a los clientes de proveedores de servicios administrados y usuarios empresariales de la versión in situ de la plataforma de administración y monitoreo remoto VSA de Kaseya.‎

‎REvil es un ransomware-as-a-service (RaaS), entregado por "afiliados" grupos de actores que son pagados por los desarrolladores del ransomware. Los clientes de proveedores de servicios gestionados ‎‎han sido un objetivo‎‎ de los afiliados de REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en‎‎ 2019‎‎ (más tarde atribuido a REvil) que afectó a más de 20 pequeños gobiernos locales en Texas. Y con el declive de varias otras ofertas de RaaS, REvil se ha vuelto más activo. Sus afiliados han sido ‎‎extremadamente persistentes en sus esfuerzos en los‎‎ últimos tiempos, trabajando continuamente para subvertir la protección contra malware. En este brote en particular, los actores REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, pero utilizaron un programa de protección contra malware como el vehículo de entrega para el código ransomware REvil.‎

‎Pico en la telemetría de SophosLabs causado por las detecciones de REvil el 2 de julio de 2021, mostrando cientos de detecciones en su apogeo.‎

‎Los operadores de REvil publicaron en su "Blog feliz" hoy, alegando que más de un millón de dispositivos individuales fueron infectados por la actualización maliciosa. También dijeron que estarían dispuestos a proporcionar un descifrador universal para las víctimas del ataque, pero bajo la condición de que se les pague $70,000,000 valor de BitCoin.‎

 

‎Entrega de malware administrado‎

‎El brote se entregó a través de una carga de actualización maliciosa enviada desde servidores VSA comprometidos a las aplicaciones de agente VSA que se ejecutan en dispositivos Windows administrados. Parece que esto se logró utilizando un exploit de día cero de la plataforma del servidor. Esto le dio cobertura a REvil de varias maneras: permitió el compromiso inicial a través de un canal de confianza y aprovechó la confianza en el código del agente VSA, reflejada en las exclusiones de‎‎ software antimalware que Kaseya requiere‎‎ para la configuración de sus carpetas de "trabajo" de aplicaciones y agentes. Por lo tanto, cualquier cosa ejecutada por el Monitor de agente de Kaseya se ignora debido a esas exclusiones, lo que permitió a REvil implementar su cuentagotas sin escrutinio.‎

Fuente: Sophos Marketing Blog

 

 

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.