La compañía de software Kaseya, que ofrece soluciones a empresas que necesitan servicios IT en remoto, ha sufrido recientemente un ciberataque. Y aunque no se conoce con exactitud el alcance del mismo, se cree que es uno de los mayores ataques de ransomware hasta la fecha, ya que por medio de una actualización maliciosa del servicio VSA, el ataque se ha desplegado a la empresa, a los clientes que utilizan la herramienta y a los clientes que reciben los servicios de IT.

Los patrones de ataque de la solución Kaseya VSA recuerdan a la campaña Cloud Hopper. Con Cloud Hopper, un ataque de phishing en el endpoint llegó a afectar a cientos de empresas que tenían relación con proveedores de nube vulnerados. Si este ataque tiene algún parecido con ejemplos anteriores, debemos recordar que, para los atacantes, se trata de capitalizar la descentralización y la conectividad de la red. ¿Por qué? Porque esto equivale a escala e impacto.

Lo más importante es que en el incidente de Kaseya, los atacantes se centran en comprometer el software de confianza, los procesos de confianza y las relaciones de confianza. Dirigirse a servicios de confianza permite a los ciberdelincuentes aprovechar tanto los permisos como los accesos otorgados. En las primeras comunicaciones de Kaseya, la empresa advierte sobre la importancia de apagar los servidores en los que se ejecuta VSA, “porque una de las primeras cosas que hace el atacante es cerrar el acceso administrativo al VSA”.

Monitorizar y proteger este acceso de administrador, o privilegiado, es fundamental para identificar y mitigar el riesgo de movimiento lateral y un mayor compromiso de la red. En el caso de un MSP, controlar los derechos de administrador significa que los atacantes pueden alcanzar un ataque a gran escala escala, probablemente en cientos de clientes del MSP. Las credenciales privilegiadas continúan siendo el ‘arma preferida’ de los atacantes y se utilizan en casi todos los ataques dirigidos importantes

About Author

Avatar

director senior del equipo de investigación cibernética de CyberArk

Deja un comentario