2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

El proveedor de software Kaseya ha publicado una actualización de seguridad que corrige la vulnerabilidad de día cero VSA (Administrador de sistemas virtuales) utilizada en el reciente ataque de ransomware REvil. El parche se produce más de una semana después de que más de 60 proveedores de servicios gestionados (MSP) y 1500 de sus clientes se vieron afectados por un ataque de ransomware, cuya fuente pronto se identificó como vsa de Kaseya.

Los atacantes, ahora conocidos por ser la famosa pandilla REvil, usaron una vulnerabilidad en el paquete de software de administración y monitoreo remoto VSA de Kaseya para distribuir una carga maliciosa a través de hosts administrados por el software. El resultado final fue 60 MSP y más de 1500 empresas afectadas por ataques de ransomware.

Las vulnerabilidades en vsa de Kaseya fueron descubiertos en abril por los investigadores de la Dutch Institute for Vulnerability Disclosure (DIVD). Según DIVD, revelaron las vulnerabilidades a Kaseya poco después, lo que permite a la compañía de software lanzar parches para resolver una serie de ellos antes de que puedan ser mal utilizados. Desafortunadamente, mientras que DIVD elogia a Kaseya por su respuesta puntual y oportuna a la divulgación, las partes maliciosas pudieron usar las vulnerabilidades sin parches en su ataque de ransomware.

Las vulnerabilidades reveladas a Kaseya por DIVD en abril son las siguientes:

No parchear 3 de las vulnerabilidades a tiempo permitió a REvil utilizarlas para un ataque a gran escala que afectó a 60 proveedores de servicios administrados que usan VSA y sus 1500 clientes comerciales. Tan pronto como Kaseya notó lo que estaba sucediendo, advirtió a los clientes de VSA en las instalaciones que apagaran inmediatamente sus servidores hasta que lanzara un parche. Desafortunadamente, muchas empresas todavía se convirtieron en víctimas de un ataque de ransomware cuyos perpetradores exigieron hasta $ 5 millones en rescate. La banda REvil más tarde ofreció un descifrador universal para $70 millones, la mayor demanda de rescate nunca.

La actualización VSA 9.5.7a (9.5.7.2994) corrige vulnerabilidades utilizadas durante el ataque de ransomware REvil

El 11 de julio, Kaseya lanzó el VSA 9.5.7a (9.5.7.2994) patch para corregir las vulnerabilidades restantes que se utilizaron en el ataque de ransomware.

La actualización VSA 9.5.7a (9.5.7.2994) corrige lo siguiente:

Sin embargo, Kaseya advierte que para evitar más problemas, On Premises VSA Startup Readiness Guide el ” ” debe ser seguido.

Antes de que los administradores procedan a restaurar la conectividad completa entre los servidores de Kaseya VSA y los agentes implementados, deben hacer lo siguiente:

La banda de REvil parece haberse vuelto oscura

La banda ransomware REvil fueron identificados muy rápidamente como los autores detrás del ataque. Después de ofrecer inicialmente un descifrador universal para $70 millones, bajaron el precio a $50 millones. Ahora parece que la infraestructura y los sitios web de REvil se han desconectado, aunque las razones no están del todo claras. La infraestructura de REvil se compone de sitios web claros y oscuros que se utilizan para fines tales como la filtración de datos y la negociación del rescate. Sin embargo, los sitios ya no son accesibles.

Aún no está claro si REvil decidió cerrar su infraestructura debido a razones técnicas o debido al mayor escrutinio por parte de las fuerzas del orden y el gobierno de los Estados Unidos. Se sabe que REvil opera desde Rusia, y el presidente estadounidense Biden ha estado en conversaciones con el presidente de Rusia, Putin, sobre los ataques, advirtiendo que si Rusia no toma medidas, Estados Unidos lo hará. Aún no está claro si eso tiene algo que ver con el aparente cierre de REvil.