Kaseya, un año después: ¿Qué hemos aprendido?

Estamos emocionados de traer de vuelta Transform 2022 en persona el 19 de julio y virtualmente del 20 al 28 de julio. Únase a los líderes en IA y datos para debates en profundidad y emocionantes oportunidades para establecer contactos. ¡Regístrate hoy!

La nota de ransomware le informa que sus archivos están retenidos como rehenes y están "cifrados y actualmente no disponibles". Aparentemente, todas las extensiones de archivo se han cambiado a .csruj. Los secuestradores exigen el pago a cambio de una clave de descifrado. Se ofrece "gratis": una clave de descifrado de archivos de un solo uso como muestra de buena fe para demostrar que la clave de descifrado funciona.

Los operadores agregan (ortografía sin cambios):

"Es solo un negocio. No nos importan ustedes ni sus ofertas en absoluto, excepto para obtener beneficios. Si no hacemos nuestro trabajo y nuestras responsabilidades, nadie cooperará con nosotros. No está en nuestro interés. Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos, porque solo tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero".
Descripción general del ataque del ransomware Kaseya
El viernes 2 de julio de 2021, Kaseya Limited, un desarrollador de software de infraestructura de TI que proporciona monitoreo de administración remota (RMM), descubrió que estaba siendo atacado y cerró sus servidores. Kaseya y el FBI describieron lo que sucedió más tarde como un "ataque de ransomware de la cadena de suministro bien coordinado que explota una vulnerabilidad en el software de Kaseya contra múltiples MSP (proveedores de servicios administrados) y sus clientes".
Evento
Transformar 2022

Únase a nosotros en el principal evento de IA aplicada para los responsables de la toma de decisiones en tecnología y negocios empresariales el 19 de julio y virtualmente del 20 al 28 de julio.
registrarse aquí
Específicamente, los atacantes lanzaron una actualización de software falsa a través de una vulnerabilidad de omisión de autenticación que propagó malware a través de los clientes de MSP de Kaseya a sus empresas intermedias.

REvil Group, con sede en Rusia, se atribuyó la responsabilidad el 5 de julio de 2021 y exigió 70 millones de dólares a cambio de descifrar todos los sistemas afectados. Pero cuando la nota de rescate de REvil llegó a sus víctimas, muchas empresas ya habían restaurado sus sistemas a partir de copias de seguridad. Algunas víctimas ya habían negociado sus propios rescates individuales, pagando entre $40,000 y $220,000.

Kaseya anunció el 23 de julio de 2021 que había adquirido una clave de descifrado universal de un "tercero de confianza" anónimo y la estaba ofreciendo a sus clientes.

Como informó Reuters el 21 de octubre de 2021, los servidores de REvil fueron pirateados y desconectados. Tom Kellermann, jefe de seguridad cibernética de VMware, dijo: “El FBI, junto con el Comando Cibernético, el Servicio Secreto y países afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos. Kellermann, Asesor del Servicio Secreto de EE. UU. para Investigaciones de Delitos Cibernéticos, agregó: "REvil estaba en la parte superior de la lista".

En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había...

Inauguración Jul 9, 2022 0 50 Add to Reading List

Kaseya, un año después: ¿Qué hemos aprendido?

Estamos emocionados de traer de vuelta Transform 2022 en persona el 19 de julio y virtualmente del 20 al 28 de julio. Únase a los líderes en IA y datos para debates en profundidad y emocionantes oportunidades para establecer contactos. ¡Regístrate hoy!

La nota de ransomware le informa que sus archivos están retenidos como rehenes y están "cifrados y actualmente no disponibles". Aparentemente, todas las extensiones de archivo se han cambiado a .csruj. Los secuestradores exigen el pago a cambio de una clave de descifrado. Se ofrece "gratis": una clave de descifrado de archivos de un solo uso como muestra de buena fe para demostrar que la clave de descifrado funciona.

Los operadores agregan (ortografía sin cambios):

"Es solo un negocio. No nos importan ustedes ni sus ofertas en absoluto, excepto para obtener beneficios. Si no hacemos nuestro trabajo y nuestras responsabilidades, nadie cooperará con nosotros. No está en nuestro interés. Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos, porque solo tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero".

Descripción general del ataque del ransomware Kaseya

El viernes 2 de julio de 2021, Kaseya Limited, un desarrollador de software de infraestructura de TI que proporciona monitoreo de administración remota (RMM), descubrió que estaba siendo atacado y cerró sus servidores. Kaseya y el FBI describieron lo que sucedió más tarde como un "ataque de ransomware de la cadena de suministro bien coordinado que explota una vulnerabilidad en el software de Kaseya contra múltiples MSP (proveedores de servicios administrados) y sus clientes".

Evento

Transformar 2022

Únase a nosotros en el principal evento de IA aplicada para los responsables de la toma de decisiones en tecnología y negocios empresariales el 19 de julio y virtualmente del 20 al 28 de julio.

registrarse aquí

Específicamente, los atacantes lanzaron una actualización de software falsa a través de una vulnerabilidad de omisión de autenticación que propagó malware a través de los clientes de MSP de Kaseya a sus empresas intermedias.

REvil Group, con sede en Rusia, se atribuyó la responsabilidad el 5 de julio de 2021 y exigió 70 millones de dólares a cambio de descifrar todos los sistemas afectados. Pero cuando la nota de rescate de REvil llegó a sus víctimas, muchas empresas ya habían restaurado sus sistemas a partir de copias de seguridad. Algunas víctimas ya habían negociado sus propios rescates individuales, pagando entre $40,000 y $220,000.

Kaseya anunció el 23 de julio de 2021 que había adquirido una clave de descifrado universal de un "tercero de confianza" anónimo y la estaba ofreciendo a sus clientes.

Como informó Reuters el 21 de octubre de 2021, los servidores de REvil fueron pirateados y desconectados. Tom Kellermann, jefe de seguridad cibernética de VMware, dijo: “El FBI, junto con el Comando Cibernético, el Servicio Secreto y países afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos. Kellermann, Asesor del Servicio Secreto de EE. UU. para Investigaciones de Delitos Cibernéticos, agregó: "REvil estaba en la parte superior de la lista".

En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había...