Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Noticias de seguridad

Los mejores métodos para proteger su empresa del ransomware

Publicado porRiley Dickens 04 Minutos
Los mejores métodos para proteger su empresa del ransomware
Tabla de contenido

Otro importante ataque de ransomware a la cadena de suministro ocurrió durante el fin de semana festivo. El 2 de julio, Kaseya, proveedor de soluciones de TI, emitió un comunicado informando de que había sufrido un ataque de ransomware. Este ataque solo afectó al 0.1 % de los clientes de Kaseya, pero sus clientes son proveedores de servicios gestionados (MSP), lo que significa que cientos de pequeñas empresas también se vieron afectadas. Este ataque se suma a otros grandes ataques de ransomware en los últimos meses, incluyendo... Ataque al Gasoducto Colonial y el ataque al proveedor de carne JBSAntes de profundizar en los detalles de este ataque, conozcamos primero quién es Kaseya y qué es un ataque de ransomware.

¿Qué es Kaseya?

Kaseya es un proveedor de soluciones de TI que ofrece software diverso a proveedores de servicios gestionados (MSP) y empresas. Estos MSP, a su vez, ofrecen sus propios servicios a otros clientes pequeños, como software como servicio (SaaS). PKI como servicio y otros servicios similares. Esta es una de las razones por las que este ataque fue tan efectivo, ya que cada uno de estos MSP tiene cientos de pequeñas empresas propias que fueron afectadas accidentalmente por este ransomware. Un ejemplo del software que ofrece Kaseya es VSA, que se utiliza para monitorear y administrar redes y endpoints.

¿Qué es ransomware?

El ransomware es un tipo de malware que cifra todos los archivos del sistema de la víctima. Una vez cifrados los archivos, los atacantes suelen dejar una nota de rescate, indicando a la víctima cuánto y adónde enviar el rescate, mientras que ellos, a su vez, envían... desencriptación clave de vuelta a la víctima. Se recomienda nunca pagar el rescate a un actor de amenazas que haya cifrado sus datos, ya que podrían no darle la clave. cifrado clave, pueden descargar la información de todos modos y chantajearte en el futuro, o puede que ni siquiera sepan cómo descifrarla.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más Información

¿Qué pasó en este ataque?

El 2 de julio de 2021, Kaseya anunció que un ataque había afectado a su herramienta, VSA, y afectó a un pequeño número de clientes locales. Si bien solo un pequeño número de clientes se vio afectado, sigue siendo un número significativo de víctimas. Como mencionamos anteriormente, muchas de las herramientas creadas por Kaseya son utilizadas por MSP, por lo que sus clientes también se vieron afectados. Kaseya recomendó a las víctimas que desactivaran el acceso de administrador a la herramienta pirateada y también desconectaron sus servidores SaaS y centros de datos.

El ataque explotó una vulnerabilidad en la herramienta VSA de Kaseya, donde los atacantes utilizaron una vulnerabilidad de omisión de autenticación en la interfaz web de la herramienta para distribuir su malware. Esto permitió a los actores de amenazas evadir los controles de seguridad, cargar su carga útil y usar inyección SQL para ejecutar su código dentro de la herramienta VSA. Para ello, los atacantes utilizaron un certificado falso. Una vez infectado el endpoint del MSP o usuario, este escribía un archivo en su directorio de trabajo. Desde allí, el equipo ejecutaba una serie de comandos de PowerShell que detienen y desactivan diversos servicios de malware en un equipo Windows. El archivo del directorio de trabajo se convierte entonces en un archivo ejecutable, liberando así el ransomware.

Sin embargo, para usar el archivo ejecutable, se necesitaba una firma legítima, y ​​ahí es donde entra en juego el certificado falso. Se descubrió que el certificado pertenecía a una organización llamada PB03transport, que es legítima. Esto indica que los actores de amenazas tuvieron acceso a la clave privada de esta organización, probablemente obtenida mediante phishing o un ataque de intermediario. Una vez que el ransomware infectó a un MSP, el malware se distribuyó a otros clientes mediante una actualización automática que contenía el ransomware. El ransomware en cuestión se llama REvil y fue subido a la herramienta VSA por sus creadores, los actores de amenazas conocidos como REvil o Sodinikibi. Se desconoce por el momento si todas las víctimas pagaron a los atacantes.

Detener este tipo de ataque

La triste realidad de este ataque es que podría haberse evitado. Al utilizar un certificado fraudulento, estos actores de amenazas paralizaron a miles de empresas, cuando una gestión adecuada de certificados podría haberlo impedido. Utilizando un sistema de gestión de certificados administrado o PKI como servicio, como el tipo Consultoría de cifrado Este certificado fraudulento no se habría creado. Con una monitorización adecuada de certificados y un inventario de claves, la clave robada podría haberse detectado y posteriormente desactivado. Sin embargo, muchas empresas podrían verse obligadas a pagar un rescate para recuperar sus datos.

Descubra nuestra

Blogs relacionados

La cuenta regresiva final para el fin de la vida útil de Windows 10

La cuenta regresiva final para el fin de la vida útil de Windows 10

16 de septiembre de 2025
Threads: ¿otra plataforma de redes sociales o el sueño de un hacker?

Threads, ¿otra plataforma de redes sociales más o el sueño de un hacker? 

27 de julio de 2023
Comprender RaaS y prevenir ataques de ransomware

Comprender RaaS y prevenir ataques de ransomware

5 de julio de 2023

Explorar

Más temas