Lecciones aprendidas del ataque del ransomware Kaseya
- Amit Kaminer
- 8 ene
- 2 Min. de lectura
Actualizado: 27 ene
Después del fin de semana largo, Estados Unidos se está despertando con un ciberataque masivo (ransomware). Si bien el viernes por la tarde se conoció la noticia de que Kaseya, un importante proveedor de soluciones de TI para proveedores de servicios administrados (MSP) y pequeñas y medianas empresas (PYMES), había sido hackeado, muchos recién ahora se dan cuenta de las ramificaciones del ataque. ¿Qué significa para usted?
Resumamos lo que sabemos hasta ahora:
1. El grupo que está detrás del ataque es probablemente REvil (Ransomware Evil). El mismo grupo que secuestró al proveedor de carne de vacuno JBS el mes pasado. El grupo está motivado principalmente por el lucro económico.
2. El concepto del ataque es similar al de SolarWinds. Ambos ataques apuntaban a dos factores clave:
Escala: el software de escritorio remoto de Kaseya es utilizado por muchos MSP. Cada MSP tiene cientos de clientes. Este tipo de ataque a la cadena de suministro permite al actor de la amenaza atacar una sola vez y "quitarle los beneficios" a muchos a lo largo de la cadena de suministro: MSP y clientes finales.
Confianza: dada la naturaleza de su trabajo, los MSP gozan de la confianza de sus clientes finales y reciben una autorización y un acceso excesivos a los entornos de sus clientes. Esto ayuda a los atacantes a establecerse más fácilmente.
3. Las cifras iniciales sugieren que el ransomware se distribuyó a 40 MSP y más de 1000 empresas. Los ataques afectaron a empresas de todo el mundo.
4. Algunas fuentes sugieren que Kaseya fue advertida sobre la vulnerabilidad antes de la vulneración. El grupo REvil fue más rápido en explotarla.
¿Qué significa para usted?
1. La ciberseguridad debe ser un tema de discusión en cualquier conversación con proveedores o terceros. Es necesario gestionar el proceso, plantear preguntas difíciles y supervisar constantemente la postura de los proveedores. En una publicación anterior abordamos los pasos necesarios.
2. Complementar la falta de visibilidad con un programa continuo de detección y respuesta.
3. Dada la complejidad del proceso, necesita expertos de su lado que le ayuden a obtener visibilidad de los entornos de los demás. Su equipo interno de TI está ocupado con las TI y no cuenta con el conjunto de habilidades necesarias.
4. Esta es la segunda vez que un MSP sufre un ataque importante. Es hora de darse cuenta de que, para reducir el riesgo de su empresa, necesita contar con controles y contrapesos. Deje que su equipo interno de TI o MSP se ocupe de la TI y utilice una empresa de ciberseguridad para asegurarse de que esté protegido. La TI y la ciberseguridad son dos disciplinas diferentes con objetivos y prioridades diferentes, que a veces incluso compiten entre sí.
¡No pongas todos los huevos en una sola canasta!
Comments