Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya

Una de las razones por las que los proveedores de seguridad informática nunca pueden bajar la guardia es la constante innovación procedente de la comunidad de ciberdelincuencia. El conocimiento se extiende a lo largo y ancho de los foros clandestinos con una velocidad que puede tomar por sorpresa a muchas organizaciones. Entonces, cuando vimos algunas de las técnicas empleadas en la infame campaña de SolarWinds aplicadas en los recientes ataques de ransomware Kaseya, no deberíamos habernos sorprendido.

Sin embargo, al implementar la microsegmentación en los lugares correctos, las organizaciones podrían hacer la vida mucho más difícil para los malos, tanto al minimizar el riesgo de explotación inicial de día cero como al bloquear las comunicaciones posteriores de comando y control.

¿Qué pasó en el ataque de Kaseya?

Kaseya proporciona software principalmente a proveedores de servicios gestionados (MSP) para optimizar las tareas esenciales de TI, como la aplicación de parches y el monitoreo remoto para pequeñas y medianas compañías. Al igual que en el caso del software de SolarWinds, el producto Kaseya VSA que fue objeto de este ataque tiene acceso altamente privilegiado para realizar sus tareas principales de monitoreo y administración remota de redes y dispositivos informáticos, lo que lo convierte en la opción ideal para propagar malware por todas partes.

Un beneficio adicional para los afiliados de ransomware REvil detrás del ataque es la naturaleza de los clientes de Kaseya. Como MSP, cada uno tiene múltiples clientes propios que los atacantes podrían infectar y extorsionar. Ese es un ROI bastante bueno para los ciberdelincuentes que buscan ganar dinero fácil.

Kaseya detalló su respuesta al ataque. El proveedor fue notificado por primera vez sobre una violación el 2 de julio, justo antes del fin de semana festivo en los EE. UU. Parece que los actores de amenazas emplearon un exploit de omisión de autenticación de día cero en la interfaz sitio web del Kaseya VSA local. Esto los ayudó a obtener una sesión autenticada, cargar su carga útil y luego ejecutar comandos a través de inyección SQL.

Con acceso a los servidores Kaseya VSA de los MSP, pudieron enviar una actualización falsa a los clientes de estas organizaciones, denominada "Kaseya VSA Agent Hot-fix", que en realidad era el ransomware REvil/Sodinokibi.

Se cree que menos de 60 MSP de un potencial de 40,000 clientes se vieron afectados. Pero el impacto en cadena significó que los clientes intermedios de los MSP se infectaron con ransomware, con un total de alrededor de 1,500 organizaciones en todo el mundo, desde escuelas hasta supermercados.

Se lanzó un parche para la vulnerabilidad de día cero explotada, pero para estas compañías comprometidas, es demasiado tarde.

Cómo puede ayudar la microsegmentación: tráfico entrante

Los MSP podrían mitigar la violación inicial restringiendo el acceso administrativo a la interfaz sitio web de Kaseya VSA. De esta manera, solo los usuarios autorizados específicos de un pequeño conjunto de hosts bastión podrían acceder al software Kaseya en los puertos de administración.

En efecto, estarían empleando la microsegmentación para reducir la superficie de ataque, poniendo barreras adicionales en el camino de los ciberdelincuentes para que tengan que trabajar mucho más duro para implementar un exploit de día cero. Combine esto con la autenticación multifactor para esos usuarios autorizados limitados, e hizo que sea exponencialmente más difícil para los ciberdelincuentes ingresar a su red.

Al obligarlos a pasar más tiempo y hacer más "ruido" mientras buscan en una red una puerta abierta, también ayuda a que sus herramientas de detección y respuesta a amenazas los "escuchen" mientras se escabullen en la oscuridad.

Cómo puede ayudar la microsegmentación: tráfico saliente

La segunda forma en que ayuda la microsegmentación es con la comunicación saliente desde los puntos finales infectados a Internet.

En algún momento, los ciberdelincuentes generalmente necesitan comunicar con su servidor de comando y control (C&C) para proporcionar instrucciones y descargar cargas útiles maliciosas. Al garantizar que las políticas limiten la conectividad saliente de la infraestructura de Kaseya solo a direcciones IP conocidas y preaprobadas, podría detener a los atacantes en seco. Si los delincuentes no pueden comunicar con sus propios servidores, no pueden pasar a la siguiente etapa del ataque.

La confianza cero comienza con la segmentación

Para proteger a su organización contra ataques de ransomware como Kaseya y SolarWinds, las organizaciones deben desarrollar políticas y prácticas de Zero Trust estables e integrales en toda su infraestructura de TI. Y Zero Trust comienza con la segmentación, ya que se producirán infracciones y los delincuentes encontrarán una puerta abierta en algún lugar de su red. La clave es cerciorar de que no puedan ir más lejos.

No hay una bala de plata en seguridad. Pero al aplicar una microsegmentación como esta, tiene una gran oportunidad de hacer la vida significativamente más difícil para sus atacantes, al menos mejorando las posibilidades de detección e, idealmente, obligándolos a rendir y seguir adelante.