Durante el fin de semana de celebración de la independencia de los Estados Unidos, Kaseya, una empresa proveedora de servicios de administrción de infraestuctura de tecnológica y ciberseguridad fue víctima de un ciberataque. El incidente ha sido clasificado como un Ataque a Cadena de Suministro, que afectó entre 800 y 1500 empresas clientes de Kaseya, usuarios del software VSA (Virtual System/Server Administrator), que fué infectado a través de una actualización fraudulenta, que contenia código RansomWare del grupo REvil.
El RansomWare de REvil ha estado involucrado en otros incidentes importantes, entre ellos esta el ataque SolarWinds de finales del año 2020 y más recientemente, el ataque a la empresa procesadora de comida JSB en mayo de 2021. Según varios expertos en ciberseguridad, el grupo ha desaparecido de la red, ya que diversos sitios aparecen fuera de línea, lo que se intrepreta como una reestructuración de sus operaciones. Los últimos ataques de REvil han llamado mucho la atención de las autoridades, sobre todo en Estados Unidos, por lo que existen muchas teorías sobre lo que realmente esta sucediendo.
Los Ataques a Cadena de Suministro suelen ser de gran alcance. La tercerización de servicios IT es una buena alternativa para las empresas, ya que les permite enfocarse en su giro de negocio y dejar en manos de expertos la gestión de todo lo relacionado con su infraestructura tecnológica, una pŕactica que en los últimos años ha incorporado la ciberseguridad. En estos ataques, los cibercriminales se enfocan en los proveedores de las potenciales víctimas, quienes al contar con acceso a alguna parte de sus sistemas, se convierten en el medio idoneo para la infiltración, monitoreo y posterior ejecución del ataque, que puede llegar a ser, como en el caso de Kaseya, a gran escala.
El estudio del caso Kaseya reveló un dato curioso y muy importante para el ataque. El software que utilizan los clientes para que se pueda hacer el monitorio y gestión de infraestructura, requiere que los sistemas de antivirus y antimalware le otorguen el mayor nivel de confianza, con acceso privilegiado al sistema operativo, situación que resultó muy útil para los atacantes, ya que la actualización de software maliciosa que se distribuyó en todos los clientes, se ejecutó sin ningún tipo de revisión o verificación. En pocas palabras, en este tipo de ataques la confianza en el proveedor, es el arma de los atacantes.
Cuando se confirmó el ataque, el CEO de la empresa, Fred Voccola indicó que la estrategía para abordar la situación se basó en dos aspectos: indicar a los clientes que de forma inmediata apagaran los servicores VSA y Kaseya deshabilito las infraestructura VSA SaaS. Luego de contener el ataque, el siguiente paso fue publicar actualizaciones de seguridad para eliminar la vulnerabilidad. Diversos expertos en ciberseguridad han manifestado que la metodología utilizada por los atacantes es muy eficiente e ingeniosa.
La utilización de los proveedores como vectores de ataque no es algo nuevo o exclusivo del mundo informático, pero actualmente representan un gran reto para la industria de ciberseguridad. La cadena comprende un número importante de procesos y socios comerciales, que pueden ser proveedores de materias primas, distribuidores y hasta los propios consumidores. Las organizaciones suelen otorgar a sus proveedores confianza, que se materializa en acceso a lugares o información reservada, pero necesaria para la relación comercial. La situación se complica más cuando en la relación cliente-proveedor intervienen componentes, procesos o sistemas que dificilmente pueden ser supervisados a detalle por alguien de la organización, lo que desvirtua el concepto de confianza, situación que es aprovechada por quienes identificación esta vulnerabilidad. Los proveedores se convierten en un potenciador de los grupos criminales, lo que les permite llegar a una gran cantidad de objetivos.
En el mundo tecnológico millones de productos y servicios digitales son resultado de un complicado sistema comercial entre muchos participantes, que proveen componentes de hardware y software, que van ensamblandose y dando forma a un resultado final, que puede haber sido comprometido en alguna de sus fases de creación o, como hoy es común, en los procesos de actualización remota y automatizada. Pretender evitar estos incidentes es casi imposible. La empresa de seguridad ESET, propone una lista de recomendaciones útiles para esta situación
- Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
- Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
- Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
- Elimine los sistemas, servicios y protocolos redundantes u obsoletos
- Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
- Establezca requisitos de seguridad para sus proveedores de software
- Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
- Infórmese sobre las pruebas de penetración para identificar peligros potenciales
- Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
- Ejecute software de seguridad con múltiples capas de protección
El incidente de Kaseya demuestra como los Ataques a Cadena de Suministro cuentan con una amplia superficie de actuación, que regularmente se materializa en el eslabón más debil y que dificilmente es conocido por las organizaciones hasta que lamentablemente … !! Es demasiado tarde !!
Bibliografía