Según los informes publicados, el 2 de julio la empresa Kaseya desarrolladora de software para administrar redes, sistemas e infraestructura de tecnología de la información, notifico un ataque en la cadena de suministro de su producto Kaseya VSA y los múltiples proveedores de servicios administrados (MSP) que utilizan el software VSA. De esta manera los atacantes implementaron ransomware que se encuentra asociado al grupo amanezca REvi/Sodinokibi, la compañía como primera instancia recomendó a todas las organizaciones que utilice VSA apagar los sistemas inmediatamente.
Actualmente se desconoce el alcance total del ataque, según Kaseya afirma que menos de 40 de sus clientes se vieron afectados en cambio la empresa de ciberseguridad Huntress Labs informo en su sitio web que existen más de 1.000 empresas afectadas en EE. UU., Australia, Unión Europea y Latinoamérica.
Kaseya ofrecio a sus clientes una herramienta de detección de indicadores de compromisos (IoC), que analiza los servidores VSA y puntos finales administrados si se encuentran comprometidos. Además la compañía informó que el 5 de julio volverán a poner en línea para los usuarios SaaS los centros de datos, comenzando por UE, Reino Unido, APAC y América del Norte, agregando capas adicionales de seguridad a la infraestructura y para los usuarios que poseen producto local se construyó una nueva versión donde el 5 de julio se comunicara el proceso de liberación.
“Nos hemos comprometido con el FBI y el DHS CISA y estamos trabajando con ellos en un proceso de manejo de incidentes para nuestros clientes en todo el mundo afectados por el ciberataque”, informo Kaseya.
La agencia de seguridad de infraestructura y ciberseguridad de los Estados Unidos entrego en su sitio web un enlace que contiene indicadores de compromisos, https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txt de Peter Lowe. Cabe señalar que CISA agrego que debido a la urgencia de compartir la información aún no han validado el contenido.
