Hackean infraestructura de MSP para distribuir ransomware a sus clientes.



Los ciberdelincuentes han comprometido la infraestructura de al menos tres proveedores de servicios gestionados (MSP) y han distribuido el ransomware en las computadoras de sus clientes. Los detalles del ataque son escasos en este momento, pero la información preliminar sugiere que los hackers de alguna manera han logrado obtener acceso a dos herramientas de administración remota (una de Webroot y otra de Kaseya) utilizadas por los MSP.

Inicialmente, los primeros informes sobre el incidente aparecieron en un subproceso de Reddit dedicado a MSP (empresas que brindan servicios de TI remotos y asistencia a clientes de todo el mundo).

De acuerdo con la firma de seguridad Huntress Labs que brinda servicios de seguridad a los MSP, en dos casos, los atacantes obtuvieron acceso inicial a través de RDP y luego aumentaron sus privilegios en el sistema y desinstalaron manualmente la solución antivirus Webroot y ESET. También eliminaron la copia de seguridad basada en puntos finales (Veeam en ambos casos).

Los ciberdelincuentes utilizaron una consola de administración remota de Webroot para ejecutar una carga útil basada en PowerShell que, a su vez, descargó e instaló el ransomware Sodinokibi en los sistemas cliente. Además, los atacantes también usaron la consola de administración remota de Kaseya VSA para entregar ransomware, dijo Huntress Labs.

De acuerdo con un correo electrónico que Webroot envió a sus clientes después del incidente y compartido por Huntress Labs, la compañía comenzó a habilitar a la fuerza la autenticación de dos factores (2FA) para el portal de administración remota. Webroot también inició un cierre de sesión automático de la consola e implementó el 2FA obligatorio en la consola de administración de Webroot.

El Sodinokibi es un malware relativamente nuevo que ha sido descubierto por el equipo de Cisco Talos a fines de abril de 2019. Sodinokibi cifra los datos en el directorio de un usuario y elimina las copias de seguridad de instantáneas para dificultar la recuperación de datos.

Fuente_: https://www.cybersecurity-help.cz/blog/594.html