Un ataque del ransomware REvil ha afectado a más de mil empresas que usan la plataforma VSA de Kaseya en el mundo.
VSA es una plataforma que usan los proveedores de servicios administrados (MSP) para vender servicios de TI remotos a las empresas. El ataque ha afectado tanto a MSPs como a los clientes de éstos, sumando más de mil empresas en el mundo las afectadas por el ransomware. Las empresas afectadas se encuentran en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía..
El ataque está basado en un troyano que se distribuye como una actualización de seguridad para el agente Kaseya VSA, explotando una vulnerabilidad de día cero en Kaseya VSA para lograr el acceso a los sistemas. Los atacantes no robaron información, ni accedieron a la red de la empresa víctima, sino que sólo distribuyeron y ejecutaron el malware al aprovechar la vulnerabilidad en Kaseya VSA.
Kaseya ha recomendado mantener fuera de línea los servidores VSA locales hasta nuevo aviso, así como usar la herramienta de detección de riesgos VSA para analizar el sistema (ya sea servidor VSA o punto final administrado) y determinar si hay algún indicador de compromiso (IoC) presente.
El ransomware REvil muestra en el escritorio del sistema el mensaje de que los archivos han sido cifrados e invita a abrir el archivoTXT con la nota de rescate, cuyo valor es variable de acuerdo con la empresa afectada, siendo 5 millones de dólares hasta el momento el monto de rescate más alto para el descifrado de los archivos afectados.
Parece ser que detrás del ataque se encuentra el grupo REvil, que realiza ataques directos y trabaja además bajo el esquema de renta Ransomware como Servicio (RaaS). Este grupo ha pedido a Kaseya el pago de 70 millones de dólares, aunque la cifra va a la baja, por el descifrador para todas las empresas víctimas del ransomware.