Empresas de soporte en TI en todo el mundo son infectadas con ransomware GandCrab

Alrededor de 120 proveedores de servicios se encuentran expuestos a ataques por no actualizar un plugin vulnerable

Un grupo de hackers explotó una vulnerabilidad revelada hace un par de años en un software usado por firmas de soporte a distancia para obtener acceso a redes vulnerables e infectar estaciones de trabajo de los usuarios de estas empresas con ransomware GandCrab, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética.

Al menos una de estas empresas ha sido infectada por este grupo de hackers, que habrían explotado una vulnerabilidad en el plugin de Kaseya para el software ConnectWise Manage, usado para la automatización de servicios profesionales, empleado por firmas de soporte de TI.

Acorde a especialistas en seguridad en redes, este plugin permite a las empresas vincular los datos de la solución de administración y monitoreo remoto Kaseya a un panel de ConnectWise. Algunas PYMES en el ramo de TI usan estas dos aplicaciones para centralizar los datos de sus usuarios y administrar las estaciones de trabajo de sus clientes desde una locación remota.

En noviembre de 2017, el experto en seguridad en redes Alex Wilson descubrió una vulnerabilidad de inyección SQL en este complemento, lo que permitía a un atacante la creación de cuentas de administrador nuevas en la interfaz principal de Kaseya. El experto publicó una prueba de concepto del exploit en GitHub.

Kaseya lanzó parches de actualización poco después, pero al parecer la versión actualizada del plugin de Kaseya no fue instalada en muchas compañías, por lo que sus redes permanecieron expuestas.

Esta campaña habría comenzado hace un par de semanas, según los reportes. A través de Reddit, se reveló un incidente en el que los hackers comprometieron la red de una de estas empresas para instalar GandCrab en 80 estaciones de trabajo de sus clientes.

ConnectWise ha publicado una alerta de seguridad en respuesta a los informes sobre los múltiples ataques. La compañía aconseja a sus clientes instalar el plugin actualizado, además  dijo que “sólo las empresas que tienen instalado el plugin de Kaseya se ven afectadas”.

Una portavoz de la compañía dijo que hasta el momento han identificado 126 empresas que no actualizaron el plugin, por lo que aún se encuentran en riesgo. Además agregó que las personas encargadas de cada compañía están siendo contactadas por la empresa para ponerlas al tanto de su condición.

(Visited 1,519,1 times)