Incidente contra el software Kaseya VSA

El pasado viernes 2 de julio, se conocía el compromiso por parte del grupo de ransomware Revil de la explotación de una vulnerabilidad 0day en Kaseya VSA para el compromiso de terceras empresas. Kaseya VSA es una solución para la monitorización y gestión remota de sistemas ampliamente utilizada por Managed Service Providers (MSP). El compromiso de esta solución permitía a los atacantes acceder a las estaciones de trabajo y redes corporativas de centenares de empresas clientes de estos MSP para instalar su payload y cifrar sus archivos. Según el seguimiento del incidente realizado por la empresa Huntress, el vector de ataque sería un fallo de evasión de autenticación en la interfaz web de Kaseya VSA, que permitiría una inyección de SQL para la ejecución de código no autorizado. El grupo de ransomware Revil habría solicitado 70 millones de dólares americanos para descifrar los sistemas afectados. En cuanto al impacto del incidente, se confirmaba que éste se centraría en los servidores VSA en instalaciones de cliente (on-premise), por lo que el impacto quedaba reducido según citaba la empresa a unos 40 clientes. Por lo tanto, el resto de las soluciones VSA en la nube y servicios SaaS asociados no estarían afectados, a pesar de que inicialmente cuando se conocía el incidente, se solicitaba la desconexión de todos los servidores SaaS. A pesar de estar ante un número más limitado de potenciales afectados, el riesgo viene derivado de que algunos de estos clientes son proveedores de servicios gestionados (MSPs) por lo que a su vez podían verse afectados los clientes de éstos. Según la telemetría de la firma ESET, que aplicó reglas de detección para la variante de ransomware Win32/Filecoder.Sodinokibi.N el dos de julio, el grueso de los compromisos parece estar teniendo lugar en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos y Colombia. Por el momento, se mantiene la recomendación de desconectar los servidores VSA para aquellos clientes que hagan uso de Kaseya VSA on-premise y hacer uso de la herramienta proporcionada por Kaseya para localizar IoCs en servidores VSA y equipos gestionados por esta para descartar una posible afectación.

Más información: https://www.kaseya.com/potential-attack-on-kaseya-vsa/

Distribución de Cobalt Strike con el señuelo el incidente de Kaseya VSA

Investigadores de Malwarebytes han detectado una campaña de malspam que estaría aprovechando la repercusión del incidente de Kaseya como pretexto para distribuir Cobalt Strike a posibles víctimas, haciéndose pasar por actualizaciones de seguridad de Microsoft. En esta campaña, los atacantes adjuntan un archivo malicioso con el nombre “SecurityUpdates.exe” así como un enlace cuya redirección final sería a una URL (hxxp://45.153.241[.]113/download/pload.exe) desde la que se descargaría una supuesta actualización de Microsoft que ayudaría a protegerse contra las amenazas de ransomware. Cabe destacar que esta misma metodología fue utilizada para por agentes amenaza para distribuir también Cobalt Strike tras el incidente de Colonial Pipeline.

Todos los detalles: https://twitter.com/MBThreatIntel/status/1412518446013812737

Actualización de urgencia contra PrintNightmare

Microsoft ha lanzado una actualización de seguridad con carácter urgente para parchear la vulnerabilidad crítica conocida como PrintNightmare (CVE-2021-34527) para la que hasta el momento únicamente había facilitado acciones mitigatorias. Esta vulnerabilidad permite la ejecución de código remoto con privilegios de sistema a través del servicio de distribución de la impresión de Windows (Windows Print Spooler), lo que otorga a un atacante la capacidad de instalar programas, ver, modificar o eliminar datos, e incluso crear nuevas cuentas con plenos derechos de usuario. Una vez conocida la solución facilitada, varios investigadores de seguridad destacados denunciaban haber logrado evadir, bajo ciertas condiciones, la actualización de seguridad de Windows lanzada para parchear PrintNightmare, replicando nuevamente a nivel local y remoto la vulnerabilidad en el protocolo de impresión. El origen se encontraría en una mala implementación del código actualizado, que permitiría a un atacante ejecutar remotamente código arbitrario cuando las directivas dePunto e Impresión (PointAndPrint) se encuentren activas y se desactiven los avisos en instalación de nuevos drivers (PointAndPrint NoWarningNoElevationOnInstall = 1). Desde Microsoft no se han pronunciado por el momento sobre el tema. Por ello, se mantiene como medida recomendada la deshabilitación, siempre que sea posible, de la función de impresión en todo sistema donde no sea estrictamente necesaria.

Para saber más: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Análisis del malware GrimAgent, vinculado a la operativa de Ryuk

Investigadores de Group-IB han realizado un análisis técnico del malware GrimAgent, un nuevo backdoor relacionado con la operativa de Ryuk tras la desarticulación de vectores de infección anteriormente empleados como Emotet o Trickbot. La relación de este malware con Ryuk se llevó a cabo gracias al análisis de los servidores C2 de GrimAgent, ya que, al realizarse una petición al dominio del C2 del malware, éste devolvía contenido diseñado para las víctimas de Ryuk. A partir de esta relación, los investigadores plantean que GrimAgent se esté usando como parte de las operaciones de Ryuk. Además, destacan que no se han identificado ventas en foros underground relacionadas con este malware, ni un uso del mismo en los procesos de infección de otras familias de ransomware. Entre las funciones destacadas de GrimAgent destacaría la recopilación de información sobre el sistema (IP, localización, SO, nombres de usuario, privilegios, etc) y la descarga y ejecución de shellcodes y de DLLs. Además, una de las características que destacan los investigadores son las capacidades de elusión de las distintas medidas de seguridad, lo que denota que nos encontraríamos ante un actor meticuloso y con altas capacidades.

Toda la info: https://blog.group-ib.com/grimagent

Vulnerabilidad en los accesos a dispositivos QNAP NAS

QNAP ha corregido una vulnerabilidad de acceso indebido en la seguridad de sus dispositivos de almacenamiento en red (NAS). Esta vulnerabilidad (CVE-2021-28809), descubierta por investigadores de TXOne IoT/ICS Security Research Lab, se debe a un error en el código del software que no restringe correctamente los privilegios de acceso, permitiendo a un atacante escalar privilegios, ejecutar comandos remotos y comprometer la seguridad del dispositivo, accediendo a la información sensible sin autorización. QNAP aconseja actualizar a la última versión disponible para sus dispositivos HBS 3: QTS 4.3.6: HBS 3 v3.0.210507 o versiones posteriores, QTS 4.3.4: HBS 3 v3.0.210506 o posteriores y QTS 4.3.3: HBS 3 v3.0.210506 o posteriores. Los dispositivos QNAP NAS que ejecutan QTS 4.5.x con HBS 3 v16.x no se encuentran afectados. No es la primera vez que QNAP tiene que corregir vulnerabilidades de este tipo recientemente, habiendo tenido que solucionar en abril de este mismo año una mala gestión de accesos que daba un acceso de puerta trasera a sus dispositivos, y que acabó empleándose por varios operadores de ransomware Qlocker, Agelocker o eChoraix.

Más detalles: https://www.qnap.com/en-us/security-advisory/QSA-21-19

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de Telefónica Tech. Visita la página de CyberSecurityPulse.