Ataque de Malware contra Kaseya VSA y servicios administrados MSP
AS-065-2021
Fecha: 04/Julio/2021
Resumen:
La agencia de seguridad de infraestructura y ciberseguridad-CISA está tomando medidas para comprender y abordar el ataque reciente de ransomware “Revil” conocida como Sodinokibi, contra Kaseya VSA y los múltiples proveedores de servicios administrados (MSP) que emplean el software VSA. CISA alienta a las organizaciones a revisar los avisos continuos de Kaseya y seguir inmediatamente las instrucciones para apagar los servidores VSA.
Kaseya VSA es una plataforma MSP basada en la nube que permite a los proveedores realizar la administración de parches y la supervisión de clientes para sus clientes.
Recomendaciones.
Las siguientes recomendaciones del portal de Kaseya (1):
05 de Julio de 2021 13:00 EDT
La próxima actualización está prevista para publicarse el 5 de julio entre las 5:00 PM y las 7:00 PM EDT. El producto VSA de Kaseya desafortunadamente ha sido víctima de un sofisticado ciberataque. Debido a la rápida respuesta de nuestros equipos, creemos que esto se ha localizado solo en un número muy pequeño de clientes locales.
Nuestros equipos de seguridad, soporte, I+D, comunicaciones y clientes continúan trabajando día y noche en todas las geografías para resolver el problema y restaurar el servicio a nuestros clientes.
Estamos en medio de la implementación de una infraestructura de supervisión de seguridad mejorada y estamos probando los procesos de respuesta a incidentes y los controles de gestión del rendimiento para garantizar operaciones aceptables para nuestros clientes.
La próxima actualización será más tarde después de que el comité ejecutivo vuelva a reunirse.
Estamos desarrollando la nueva revisión para clientes locales en paralelo con la restauración del centro de datos SaaS. Primero estamos implementando en SaaS a medida que controlamos todos los aspectos de ese entorno. Una vez que haya comenzado, publicaremos la programación para distribuir la revisión para los clientes locales.
La herramienta de detección de compromiso se puede descargar en el siguiente enlace: Herramientas de detección de VSA.zip | Powered by Box Esta herramienta analiza un sistema (ya sea servidor VSA o punto final administrado) y determina si hay indicadores de compromiso (IoC) presentes.
Aviso continuo.
Todos los servidores VSA locales deben seguir sin conexión hasta que haya más instrucciones de Kaseya sobre cuándo es seguro restaurar las operaciones. Se requerirá instalar un parche antes de reiniciar el VSA y un conjunto de recomendaciones sobre cómo aumentar la postura de seguridad.
Hemos sido aconsejados por nuestros expertos externos, que los clientes que experimentaron ransomware y reciben comunicación de los atacantes no deben hacer clic en ningún enlace.
Nos hemos comprometido con el FBI y el DHS CISA y estamos trabajando con ellos en un proceso de manejo de incidentes para nuestros clientes en todo el mundo afectados por el ciberataque. El siguiente mensaje se publicará en el sitio web del FBI:
"Si usted siente que sus sistemas se han visto comprometidos como resultado del incidente ransomware Kaseya, le animamos a emplear todas las mitigaciones recomendadas, siga la guía de Kaseya [ENLACE 'Guía de Kaseya' A https://www.kaseya.com/potential-attack-on-kaseya-vsa] para apagar sus servidores VSA inmediatamente, e informar de su compromiso al FBI en https://www.IC3.gov Debido a la escala potencial de este incidente, es posible que no podamos responder a cada víctima individualmente, pero toda la información que recibimos será útil para contrarrestar esta amenaza."
En este momento, creemos que ninguno de nuestros clientes noc (niSaaS ni local) se vieron afectados por el ataque. Continuamos investigando, pero no se han encontrado clientes de NOC comprometidos hasta el 4 de julio a las 10:00 AM EDT.
TODOS LOS SERVIDORES VSA LOCALES DEBEN SEGUIR SIN CONEXIÓN HASTA QUE KASEYA INSTRUYA SOBRE CUÁNDO ES SEGURO RESTAURAR LAS OPERACIONES. SE REQUERIRÁ INSTALAR UNA REVISIÓN ANTES DE REINICIAR EL VSA.
LOS SERVIDORES SAAS Y VSA ALOJADOS ENTRARÁN EN FUNCIONAMIENTO UNA VEZ QUE KASEYA HAYA DETERMINADO QUE PODEMOS RESTAURAR LAS OPERACIONES DE FORMA SEGURA.
Referencias:
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/
https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/
https://www.welivesecurity.com/2021/07/03/kaseya-supply-chain-attack-what-we-know-so-far/
