El ataque de la banda de ransomware REvil contra los MSP y sus clientes la semana pasada debería haber tenido éxito en el exterior, pero los cambios en sus tácticas y procedimientos típicos han llevado a pocos pagos de rescate.
Cuando las bandas de ransomware realizan un ataque, por lo general violan una red y se toman su tiempo para robar datos y eliminar copias de seguridad antes de encriptar finalmente los dispositivos de la víctima.
Cuando a una víctima se le muestra una prueba de datos robados, se eliminan las copias de seguridad y se cifran sus dispositivos, se crea un incentivo mucho más fuerte para que pague el rescate para restaurar sus datos y evitar la filtración de datos.
Sin embargo, el afiliado de REvil responsable de este ataque optó por renunciar a las tácticas y procedimientos estándar. En cambio, utilizaron una vulnerabilidad de día cero en los servidores VSA de Kaseya en las instalaciones para realizar un ataque masivo y generalizado sin acceder realmente a la red de la víctima.
Esta táctica condujo al ataque de ransomware más importante de la historia, con aproximadamente 1.500 empresas individuales cifradas en un solo ataque.
Sin embargo, aunque BleepingComputer sabe de dos empresas que pagaron un rescate para recibir un descifrador, en general, es probable que este ataque no sea tan exitoso como hubiera esperado la pandilla REvil.
La razón es simplemente que las copias de seguridad no se eliminaron y no se robaron los datos, lo que proporcionó a la banda de ransomware poca influencia sobre las víctimas.
Una víctima pagó un rescate de 220.000 dólares en el ataque de Kaseya
Los investigadores de ciberseguridad familiarizados con los ataques y los MSP específicos le han dicho a BleepingComputer que las víctimas tienen suerte de haber sido atacadas de esta manera, ya que los actores de amenazas no tenían acceso regular y sin restricciones a las redes y se vieron obligados a utilizar métodos automatizados para eliminar copias de seguridad.
Acunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
Por ejemplo, el CTO de Emsisoft, Fabian Wosar, extrajo la configuración de una muestra de ransomware REvil utilizada en el ataque, y muestra que el afiliado de REvil hizo un intento rudimentario de eliminar archivos en carpetas que contienen la cadena ‘copia de seguridad’.
Fragmento de la configuración del ransomware REvil
Sin embargo, este método no parece haber tenido éxito como MSP y varias víctimas encriptadas durante el ataque le dijeron a BleepingComputer que ninguna de sus copias de seguridad se vio afectada y que optaron por restaurar en lugar de pagar un rescate.
Bill Siegel , director ejecutivo de la firma de negociación de ransomware Coveware , le dijo a BleepingComputer que esta es una decisión similar para muchas otras víctimas del ataque, ya que ninguno de sus clientes ha tenido que pagar un rescate.
«En el ataque de Kaseya, optaron por tratar de impactar en CADA cliente de Kaseya al apuntar al software en lugar de la entrada directa a la red de un MSP. Al buscar un impacto tan amplio, parecen haber sacrificado el paso de encriptar / borrar copias de seguridad en el control de MSP nivel «, dijo Siegel a BleepingComputer.
«Esto puede terminar siendo un poco salvador, incluso para los MSP que tenían copias de seguridad mal segmentadas para sus clientes».
«Si bien es ciertamente impresionante que Sodin haya podido realizar este exploit, no hemos visto el nivel de interrupción que generalmente sigue a un solo ataque MSP en el que las copias de seguridad se borran o encriptan intencionalmente, y no hay otra forma de recuperar datos sin pagando un rescate «.
«La interrupción sigue siendo grave, pero los datos cifrados que no se pueden recuperar de las copias de seguridad pueden terminar siendo mínimos. Esto se traducirá en una necesidad mínima de pagar rescates».
«Los MSP afectados se estirarán por un tiempo mientras recuperan a sus clientes, pero hasta ahora ninguno de los clientes que hemos clasificado ha tenido que pagar un rescate. Estoy seguro de que hay algunas víctimas que lo necesitarán, pero esto podría haber sido mucho peor «.
Aquellas víctimas que finalmente paguen un rescate probablemente solo lo harán porque tenían copias de seguridad deficientes para restaurar.
Rara vez podemos escribir una historia positiva sobre el ransomware y, si bien muchas empresas han tenido una semana estresante y perturbadora, parece que la mayoría de las víctimas deberían poder volver a funcionar con bastante rapidez.
Fuente: Bleepingcomputer.com
