La banda cibernética afirma que ha infectado a «más de un millón de sistemas» después de explotar un fallo de seguridad de día cero en VSA. REvil solicita un rescate de 70 millones de dólares tras el ataque a la cadena de suministro de Kaseya.
REvil ha infectado a más de 40 clientes de la empresa de software de gestión de IT Kaseya en un ataque a la cadena de suministro al estilo de SolarWinds. En este, se distribuyó ransomware a través de una actualización maliciosa.
Kaseya reveló este fin de semana que su producto de monitorización remoto y administración de IT basado en la nube, VSA, había sido comprometido. Sin embargo, dijeron que el ataque afectó sólo a una pequeña cantidad de sus clientes locales. Se estima que el número de víctimas es de aproximadamente 40, según la firma.
REvil solicita un rescate de 70 millones de dólares tras el ataque a la cadena de suministro de Kaseya
La banda aprovechó una vulnerabilidad de día cero para acceder de esta forma remota a los servidores VSA conectados a Internet. Este software lo utilizan muchos proveedores de servicios administrados (MSP). Esta ruta de entrada también les dio una ruta hacia los clientes de estos MSP. Kaseya fue el objetivo porque una funcionalidad clave de VSA es impulsar software y tareas de IT automatizadas a pedido, sin verificaciones.
Los piratas informáticos responsables ahora están emitiendo diversas demandas de rescate a sus víctimas. REvil exige 44.999 dólares a las víctimas si su endpoint se ha visto afectado, según el investigador de seguridad de Sophos Mark Loman. El grupo, mientras tanto, exige una suma de 70 millones para publicar el descifrador universal, mientras se jacta de que ha infectado a un millón de dispositivos.
Si miramos más allá de los 40 clientes de Kaseya, Huntress Labs afirma que más de 1.000 empresas han cifrado los servidores y estaciones de trabajo, incluidos los MSP.
La respuesta al ataque ha sido dura, con empresas atendidas por el producto VSA cortando sus servidores de acceso a Internet. Según la firma de seguridad holandesa DIVD CSIRT, el número de instancias de VSA accesibles se redujo de la norma de 2200 a menos de 140.
La compañía confirmó que un investigador de DIVD, Wietse Boonstra, había identificado previamente un fallo de día cero, registrada como CVE-2021-30116, que ahora se usa en el ataque de ransomware. Esta vulnerabilidad se descubrió como parte de un proyecto de investigación más amplio en el que la firma está examinando fallos en herramientas para administradores de sistemas en productos como Vembu BDR, Pulse VPN y Fortinet VPN.