.png)
Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya
Una de las razones por las que los proveedores de seguridad de TI nunca pueden bajar la guardia es la constante innovación que proviene de la comunidad de delitos cibernéticos. El conocimiento se extiende a lo largo y ancho de los foros clandestinos con una velocidad que puede tomar por sorpresa a muchas organizaciones. Entonces, cuando vimos algunas de las técnicas utilizadas en la infame Campaña SolarWinds aplicado en los recientes ataques de ransomware Kaseya, no deberíamos habernos sorprendido.
Sin embargo, al implementar la microsegmentación en los lugares correctos, las organizaciones podrían haber hecho la vida mucho más difícil para los malos, tanto al minimizar el riesgo inicial explotación de día cero y bloqueando las comunicaciones subsiguientes de mando y control.
¿Qué pasó en el ataque de Kaseya?
Kaseya proporciona software principalmente a los proveedores de servicios administrados (MSP) para optimizar las tareas esenciales de TI, como la aplicación de parches y el monitoreo remoto para empresas pequeñas y medianas. Como fue el caso con el software SolarWinds, el Kaseya VSA El producto que fue objeto de este ataque tiene acceso altamente privilegiado para realizar sus tareas principales de monitoreo y administración de redes y dispositivos informáticos de manera remota, lo que lo convierte en la opción ideal para la propagación de malware a lo largo y ancho.
Un beneficio adicional para Afiliados de ransomware ReVil detrás del ataque está la naturaleza de los clientes de Kaseya. Como MSP, cada uno tiene múltiples clientes propios que los atacantes podrían infectar y extorsionar. Ese es un ROI bastante bueno para los ciberdelincuentes que buscan ganar dinero fácil.
Kaseya ha detallado su respuesta al ataque. El vendedor fue notificado por primera vez sobre una brecha el 2 de julio, justo antes del fin de semana festivo en Estados Unidos Parece que los actores de amenaza utilizaron un Exploit de omitir la autenticación de día cero en la interfaz web del Kaseya VSA local. Esto les ayudó a obtener una sesión autenticada, cargar su carga útil y luego ejecutar comandos mediante inyección SQL.
Con acceso a los servidores Kaseya VSA de los MSPs, pudieron sacar una actualización falsa a los clientes de estas organizaciones, denominada “Kaseya VSA Agent Hot-fix”, que de hecho era Revil/Sodinokibi ransomware.
Se cree que menos de 60 MSP de 40.000 clientes potenciales se han visto afectados. Pero el impacto en la red significó que los clientes descendentes de los MSP se infectaron con ransomware, totalizando alrededor de 1.500 organizaciones en todo el mundo, desde escuelas hasta supermercados.
Se ha lanzado un parche para la vulnerabilidad de día cero explotada, pero para estas empresas comprometidas, es demasiado tarde.
Cómo puede ayudar la microsegmentación: Tráfico entrante
Los MSP podrían haber mitigado la violación inicial restringiendo el acceso administrativo a la interfaz web de Kaseya VSA. De esta manera, solo usuarios autorizados específicos de un pequeño conjunto de hosts de bastión podría acceder al software Kaseya en los puertos de administración.
En efecto, estarían utilizando la microsegmentación para reducir la superficie de ataque, poniendo barreras adicionales en el camino de los ciberdelincuentes por lo que tienen que trabajar mucho más duro para implementar un exploit de día cero. Combine esto con la autenticación multifactor para esos usuarios autorizados limitados, y ha hecho que sea exponencialmente más difícil para los ciberdelincuentes entrar en su red.
Al obligarlos a pasar más tiempo y hacer más “ruido” mientras buscan en una red en busca de una puerta desbloqueada, también ayuda a que sus herramientas de detección y respuesta de amenazas “las escuchen” mientras se escabullen en la oscuridad.
Cómo puede ayudar la microsegmentación: Tráfico saliente
La segunda forma en que la microsegmentación ayuda es con la comunicación saliente desde puntos finales infectados a Internet.
En algún momento, los ciberdelincuentes generalmente necesitan comunicarse con su servidor de comando y control (C&C) para proporcionar instrucciones y descargar cargas útiles maliciosas. Al garantizar que las políticas limiten la conectividad saliente de la infraestructura de Kaseya a solo direcciones IP conocidas y preaprobadas, podría detener a los atacantes en su camino. Si los delincuentes no pueden comunicarse con sus propios servidores, no pueden pasar a la siguiente etapa del ataque.
La confianza cero comienza con la segmentación
Para proteger a su organización contra ataques de ransomware como Kaseya y SolarWinds, las organizaciones necesitan desarrollar un sistema sólido e integral Cero Confianza políticas y prácticas en toda su infraestructura de TI. Y Zero Trust comienza con la segmentación, ya que sucederán brechas y los delincuentes encontrarán una puerta desbloqueada en algún lugar de su red. La clave es asegurarse de que no puedan ir más lejos.
No hay bala de plata en seguridad. Pero al aplicar microsegmentación como esta, tienes una gran oportunidad de hacer la vida significativamente más difícil para tus atacantes, al menos mejorando las posibilidades de detección e, idealmente, forzándolos a darse por vencidos y seguir adelante.
