Etiqueta: virus

Ataque de ransomware a Kaseya afectó a más de 1,000 compañías en el mundo

Kaseya

El proveedor de software Kaseya dijo el lunes por la noche que “entre 800 y 1,500 empresas podrían haber sido alcanzadas y que alrededor de 60 han sido afectadas directamente” por el reciente ataque de ransomware REvil que afectó a empresas de todo el mundo y que comenzó el viernes 2 de julio. De acuerdo a ESET, el ataque se llevó a cabo mediante la explotación de una vulnerabilidad zero-day (CVE-2021-30116) que se estaba reparando.

El ransomware REvil, también conocido somo Sodinokibi, afectó a más de 1,000 compañías en al menos 17 países del mundo mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software de gestión de IT de la compañía Kaseya, que es utilizado comúnmente por proveedores de servicios administrados (MSP, por sus siglas en inglés).  Así, la actualización con permisos de administrador afectó a los MSP y estos a su vez infectaron los sistemas de sus clientes en n Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.

Kaseya, compañía que cuenta con aproximadamente 40,000 clientes, explicó en su sitio web que notificó a las personas potencialmente afectadas con la recomendación de cerrar posibles servidores VSA de manera inmediata hasta tanto se publique el parche. Sin embargo, para muchas empresas ya había sido tarde y ya habían sido afectadas por el ransomware que cifró su información. Así una vez que REvil cifra la información el fondo del escritorio cambia a una imagen como esta:

kaseya y revil

El pago solicitado a cada víctima de este ataque es distinto para cada caso, llegando a 5 millones de dólares el monto más elevado que algunos investigadores aseguran haber visto. Este ataque de REvil solo cifró los archivos de las víctimas y no robó información previo al cifrado para extorsionar a las víctimas que no paguen con filtrar la información secuestrada, algo que suele hacer este ransomware. Ademas, el hecho de que no se hubiera robado información sugiere que los atacantes no accedieron a la red de la víctima, sino que abusaron de la vulnerabilidad de Kaseya VSA para distribuir y ejecutar el malware.

En las últimas horas el grupo REvil publicó en su sitio de la dark web que ofrece a las víctimas de Kaseya un descifrador para que puedan recuperar los archivos del cifrado a cambio de 70 millones de dólares. Según el grupo, más de un millón de sistemas fueron comprometidos. Sin embargo, los operadores detrás del grupo parecen abiertos a negociar por un precio más bajo el descifrador.

Por su parte, el instituto holandés para la divulgación de vulnerabilidades (DIVD, por sus siglas en inglés) que fue quien descubrió la zero-day y la reportó a Kaseya, publicó información el 4 de julio en la que afirma que en las últimas 48 horas el número de instancias de Kaseya VSA a las cuales se puede acceder desde Internet bajó de 2,200 a menos de 140.

Finalmente la CISA y el FBI han compartido una guía para las víctimas del ataque, aunque reconocen que “debido a la escala potencial de este incidente, es posible que el FBI y CISA no puedan responder a cada víctima individualmente, pero toda la información que recibamos será útil para contrarrestar esta amenaza”. Por el momento el problema persiste y habrá que cómo termina.

C.

Dark Tequila: El Malware mexicano que afecta las cuentas bancarias

dark tequila

Dark Tequila, ha estado atacando a usuarios en México al menos durante los últimos cinco años, robando credenciales bancarias, datos personales y corporativos con malware que puede moverse lateralmente a través del ordenador de la víctima estando desconectado. Según  Kaspersky Lab,el código malicioso se propaga a través de  dispositivos USB infectados y por spear phishing, un tipo de ataque cibernético que se caracteriza por ser dirigido a un individuo, en lugar de ser generalizado. Se cree que el código malicioso localizado parece haber sido creado por alguna persona o grupo hispanohablante y latinoamericano.

Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para las operaciones de fraude financiero. La amenaza se centra en robar información financiera, pero una vez dentro de un ordenador también transfiere credenciales a otros sitios, incluidos sitios web populares, recolección de direcciones comerciales y personales de correo electrónico, registros de dominio, cuentas de almacenamiento de archivos y otros, posiblemente para venderse o usarse en futuras operaciones. Entre los ejemplos disponibles se incluyen los clientes de correo electrónico de Zimbra y las web de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace y otros.

Una vez dentro del ordenador, entra en contacto con un servidor de comando para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones técnicas de la red. Si el malware detecta una solución de seguridad instalada, una actividad de supervisión de red o indicios de que la muestra se ejecuta en un entorno de análisis como un entorno limitado virtual, detiene la rutina de infección y se borra del sistema. Si no se encuentra nada de esto, el malware activa la infección local y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que se mueva offline a través de la red de la víctima, incluso cuando solo un equipo se hubiera visto comprometido inicialmente a través de spear-phishing. Cuando conecta otro USB al ordenador infectado, éste se infecta automáticamente y está listo para propagar el malware a otro objetivo.

El implante malicioso contiene todos los módulos necesarios para la operación, incluido un registrador de claves y la aplicación de supervisión de Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de comando de las órdenes, los diferentes módulos se descifrarán y activarán. Todos los datos robados se envían al servidor cifrados.

Dark Tequila lleva funcionando desde al menos 2013, atacando a usuarios en México o conectados con ese país. Según  Kaspersky Lab, la presencia en el Código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina.

C.