La empresa tecnológica Kaseya sufrió la semana pasada uno de los mayores ataques de ransomware conocidos hasta la fecha en el que se vieron afectadas menos de 1500 empresas a las que ésta ofrecía servicios, en particular aquellas que usaban el producto afectado: VSA.
VSA es un producto que permite la monitorización remota y administración de software para manejar PCs, servidores, cajas registradoras, gestión de parches y vulnerabilidades de seguridad.
La vulnerabilidad explotada (CVE-2021-30116), calificada como crítica, fue la utilizada en el ataque por los atacantes, además de las vulnerabilidades CVE-2021-30119 y CVE-2021-30120.
Estos hechos, que comenzaron el día 2 de Julio, finalizan con el lanzamiento del parche que prometieron para el día 11 de Julio. El ataque fue perpetrado utilizando una vulnerabilidad 0-day que estaba siendo reparada en esos momentos.
REvil (también conocido como Sodinokibi) fue desplegado por un grupo cibercriminal que reclamó la autoría del ataque a Kaseya, pidiendo un rescate de 70 millones de dólares en Bitcoin. Por la información cedida a través de su propio portal podemos conocer que la restauración de los servicios comenzó el día 11 de Julio, y no consta que se hubiese realizado el pago para recuperar la información, siendo esta restaurada a través de las copias de seguridad como aparecía en la nota del 3 de Julio.
El parche lanzado por Kaseya el día 11 de Julio de 2021 soluciona las tres vulnerabilidades antes mencionadas. Se puede encontrar más información sobre él en: https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041
Deja una respuesta