Detectada por los investigadores de Malwarebytes Labs, la campaña se dirige a las víctimas potenciales con spam que introduce archivos maliciosos de Cobalt Strike disfrazados de actualizaciones de seguridad de Kaseya VSA.
Cobalt Strike es un software de pruebas de penetración con usos legítimos, pero también puede ser utilizado por agentes maliciosos para atacar a una empresa. Como se señaló en noviembre, cuando el código fuente del software supuestamente se filtró, es posible que en manos de los hackers el software se utilice para identificar problemas de seguridad que pueden ser explotados.
La campaña de “malspam” consiste en un correo electrónico con un mensaje que pide a las víctimas que instalen una actualización de Microsoft Corp. para protegerse del ransomware. Adjunto al correo electrónico hay un archivo llamado SecurityUpdates.exe y el correo electrónico también incluye un enlace que simula ser una actualización de seguridad de Microsoft para parchear las vulnerabilidades de Kaseya. El archivo adjunto instala posteriormente Cobalt Strike.
Mientras las víctimas son atacadas con falsas actualizaciones de seguridad, el Instituto Holandés para la Divulgación de Vulnerabilidades ha revelado que descubrió una de las vulnerabilidades explotadas por REvil a principios de abril e informó a Kaseya en ese momento.
“Después de algunas deliberaciones, decidimos que informar al proveedor y esperar la entrega de un parche era lo correcto”, explicó Frank Breedijk, de DIVD, en una entrada del blog. “Tuvimos la hipótesis de que, en las manos equivocadas, estas vulnerabilidades podrían llevar a comprometer un gran número de computadoras administradas por Kaseya VSA”.
Breedijk añadió que la respuesta de Kaseya a la revelación había sido “puntual y oportuna, a diferencia de otros proveedores”, y que la compañía lanzó dos parches para abordar las vulnerabilidades identificadas.” Claramente, no los abordó todos, sin embargo, con Breedijk añadiendo que “más tarde nos enteramos de que una de las dos vulnerabilidades utilizadas en el ataque fue una que previamente revelamos a Kaseya VSA.”
Kaseya aún no ha comentado la afirmación. Si es cierto y Kaseya no actuó, ya sea intencionalmente o por accidente, plantea la cuestión de que la compañía podría enfrentar problemas de responsabilidad legal, potencialmente dado el robo de datos involucrados en el ataque.
La noticia llega un día después de que la Casa Blanca se comprometiera a tomar medidas contra Rusia si se demuestra que el ataque REvil de Kaseya está vinculado al país. REvil es una conocida banda rusa de ransomware con un largo historial, aunque no se sabe que esté directamente vinculada al gobierno ruso.
