La organización de cibercriminales REvil que, se cree, operan desde Rusia, se adjudicó el lunes el ataque de ransomware global más extenso de la historia al utilizar una vulnerabilidad desconocida (conocido como una vulnerabilidad zero-day) para penetrar un programa como servicio (SaaS, o Software As A Service, en inglés) de la empresa de servicios de informática Kaseya.

Mediante esta penetración, los cibercriminales lanzaron un ataque que, se cree, ha infectado entre 800 a 1,500 empresas pequeñas y medianas que utilizaban los servicios de Kaseya, o que fueron infectadas mediante compañías subcontratadas para desplegar servicio remoto de IT a clientes a través de las herramientas o servidores de Kaseya.

Aunque Kaseya sostiene que el alcance máximo de negocios afectados no sobrepasa los 1,500, diversas compañías de ciberseguridad estiman que el saldo podría ser aún mayor, en especial al tomar en consideración que muchas empresas recién regresaron a trabajar tras el fin de semana largo por las festividades de la Independencia de Estados Unidos (4 de julio).

Al momento de adjudicarse el ataque, REvil sostuvo que infectaron un millón de máquinas. La ciberganga ha llevado a cabo ataques contra proveedores de Apple y el fabricante Acer, y recientemente recibió un pago de $11 millones en bitcoin de la procesadora de carne más grande del mundo, JBS, para recuperar datos cifrados luego de un ataque exitoso de los ciberpiratas. Al momento, REvil solicita un pago de $70 millones en bitcoins para otorgar acceso al programa para descifrar los datos de los sistemas afectados.

Pero, ¿cómo REvil logró uno de los peores ataques de ransomware perpetrados en la historia? Una serie de factores se combinaron para facilitar la penetración de una herramienta en particular de Kaseya que, entonces, facilitó la infección de las redes de muchos otros negocios.

Ataque de cadena de distribución

Según la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA, en inglés) REvil utilizó un tipo de ciberataque conocido como un ataque de cadena distribución, mecanismo mediante el cual criminales ingresas a la red de un desarrollador de programas e insertan código malicioso para comprometer el programa antes de ser enviado a sus clientes, usualmente mediante instalaciones nueva o actualizaciones existentes del programa.

Este método fue utilizado por el grupo que llevó a cabo el ataque mediante SolarWinds de 2020 que comprometió los sistemas de múltiples agencias federales y grandes corporaciones. Se cree que el Servicio de Inteligencia Extranjera de la Federación de Rusia (SVR) y/o el Servicio Federado de Seguridad de la Federación de Rusia (FSB) llevaron a cabo el ataque de SolarWinds, pero también utilizaron vulnerabilidades en productos de Microsoft y VMware para llevar a cabo los ataques.

Vulnerabilidad en el programa VSA

Kaseya, con sede en Miami, Florida, es el creador de programas para el manejo remoto de computadoras, redes y muchos otros componentes de un sistema de informática moderno. Específicamente, Kaseya vende sus programas y servidores a proveedores de servicio manejado (MSPs en inglés), compañías que ofrecen servicio de IT a empresas pequeñas sin el poder adquisitivo para montar su propia infraestructura tecnológica.

Kaseya ofrece un programa como servicio (SaaS, en inglés) conocido como VSA, o administrador virtual de sistemas. Esta plataforma con base en la “nube” utiliza servidores remotos, o servidores instalados físicamente en las facilidades del cliente, que le permiten al MSP contratado administrar remotamente todos los aspectos del sistema de informática del cliente.

Según el análisis preliminar del ataque llevado a cabo por Kaseya y la compañía de ciberseguridad Mandiant (parte de FireEye), REvil utilizó una o varias vulnerabilidades desconocidas, o vulnerabilidades zero-day, para burlar los mecanismos de verificación de conexiones autorizadas. Este acceso no autorizado le permitió a los atacantes ejecutar (correr) comandos en los servidores de VSA e infectar redes en sobre 17 países distintos.

¿Cómo lograron ejecutar programas no autorizados? La plataforma VSA permite, como parte de sus funciones de administración remota, ejecutar programas desde la “nube” para realizar distintas funciones, como instalar programas en múltiples máquinas o la actualización en masa de sistemas operativos u otros programas utilizados por clientes. Fue mediante esta funcionalidad que REvil, utilizando el mecanismo integrado en VSA, infectó los servidores de múltiples MSPs que, en cambio, pasaron la infección a los clientes que sirven.

Dado que las actualizaciones bajaron de VSAs autorizados, los mecanismos de protección no se activaron sino hasta que el payload o “cargamento” del ransomware se ejecutó y comenzó a cifrar datos.

Al momento, según Kaseya, REvil no descargó datos de la empresa, pero la recomendación de apagar los servidores de VSA en localidades físicas continúa vigente, pues la compañía confrontó problemas para desplegar un parcho y una capa de seguridad adicional que eliminaría las vulnerabilidades utilizadas por los cibercriminales para llevar a cabo el ataque. Además, los servidores de VSA SaaS continúan inactivos a la espera de la instalación de los parchos y nuevos mecanismos de seguridad.

Se desconoce, de momento, si el ataque afectó a empresas en Puerto Rico.