El 2 de julio, lo que se considera el mayor incidente de ransomware hasta la fecha, paralizó a Kaseya y hasta cientos de empresas asociadas en su red de suministro. El atacante, un grupo con sede en Rusia llamado REvil (Ransomware Evil), utilizó un ataque a la red de suministro que utiliza a los usuarios de los proveedores de servicios gestionados (MSP). No todos los usuarios de MSP se han visto comprometidos, pero se estima que unas 1.500 empresas se han quedado sin acceso a sus ordenadores, lo que ha permitido a REvil exigir un rescate de 70 millones en Bitcoin. Según el Washington Press, el ataque a la red de suministro de Kaseya es revolucionario en términos de sofisticación de los hackers de ransomware.
Los ataques a la cadena de suministro son un tipo de ciberataque que busca vulnerabilidades y eslabones débiles en la red de suministro, vulnerando los procesos legítimos de terceros, y permitiendo que el malware viaje entre los usuarios de origen de la cadena comprometida, los clientes del proveedor. Así es como los culpables de Kaseya pudieron dirigirse a un número tan abrumador de empresas. En general, los ataques a la cadena de suministro se dirigen a empresas más pequeñas con una infraestructura de seguridad menos sólida, lo que les permite acceder indirectamente a empresas más grandes que suelen tener una seguridad más sólida y que son más difíciles de penetrar directamente.
Según John Hannon, investigador principal de ciberseguridad de Huntress, se utilizó un ataque a la red de suministro para comprometer el VSA de Kaseya, que se utiliza en las plataformas de los MSPs. A continuación, los MSPs suministran servicios de TI y de monitorización a usuarios de terceros, obteniendo acceso administrativo a las redes y a los puntos finales de miles de empresas atendidas por el MSP. Cuando el MSP está comprometido, todos los clientes están comprometidos.
El incidente de Kaseya ha demostrado que una infraestructura de MSP puede convertirse en una gran plataforma de pivote para que los hackers penetren en las PYMES si la propia infraestructura de MSPs no se examina constantemente y se comprueba si hay grietas. Especialmente durante el proceso de integración de aplicaciones de terceros, lo que puede permitir que este tipo de ataque a la cadena de suministro se extienda de empresa en empresa como un reguero de pólvora.
Para hacer frente a este creciente objetivo de los MSPs, a finales de 2019, el NCCoE (National Cybersecurity Center of Excellence), dependiente del NIST, lanzó algunas iniciativas para mejorar la postura de ciberseguridad de los MSPs. En su guía práctica, la gestión de activos y la evaluación de riesgos se identifican como el primer escenario que deben abordar los MSPs.
Sin embargo, la gestión de activos y de riesgos plantea retos especiales a los MSP, debido al mayor número de activos que poseen y a la variedad de integraciones de software de terceros que se llevan a cabo. Los MSP necesitarían una herramienta sencilla, escalable y automatizada que les ayude a evaluar continuamente el riesgo y la postura de seguridad de toda la infraestructura.
RidgeBot es una herramienta de pruebas de penetración ideal, a escala y automatizada, para evaluar la postura de seguridad y encontrar cadenas débiles en la infraestructura de un MSP. Obtenga más información sobre RidgeBot viendo esta demostración.