Un importante proveedor de nómina utilizado por miles de empresas en los Estados Unidos, incluidas las agencias gubernamentales, informa que espera estar inactivo durante "semanas" debido a un devastador ataque de ransomware.
Kronos, conocido por ser utilizado por varios miles de empresas, desde Tesla hasta National Public Radio (NPR), tuvo su servicio de nube privada fuera de línea el lunes. Este elemento es fundamental para sus servicios UKG Workforce Central, UKG TeleStaff y Banking Scheduling Solutions que se utilizan para realizar un seguimiento de las horas de los empleados y procesar los cheques de pago. La compañía confirmó que había descubierto un ataque de ransomware en curso el 11 de diciembre y había desconectado los servicios alojados en Kronos Private Cloud como parte de sus medidas de mitigación. Kronos no dio un cronograma para la recuperación, pero dijo que espera que pasen al menos varios días, si no semanas, antes de que los servicios vuelvan a estar completamente en línea.
Aunque no se ha confirmado, se especula que la notoria vulnerabilidad de Log4Shell estuvo involucrada dado que se sabe que los servicios en la nube de Kronos se basan en gran medida en Java.
El ataque de ransomware interrumpe a un importante proveedor de nómina antes de Navidad
El ataque de ransomware aparentemente causó tanto daño que Kronos espera que pasen varios días antes de que se restablezca algún nivel de servicio. Dado que la recuperación total podría llevar semanas, la compañía ha instado a los clientes a buscar otros proveedores de nómina para reemplazarlos por ahora.
No se sabe qué malware estuvo involucrado en el ataque de ransomware o cómo comenzó, pero por alguna razón, Kronos optó por publicar un aviso destacado sobre su conocimiento de la vulnerabilidad Log4J descubierta recientemente y sus esfuerzos continuos para parchear sus sistemas para protegerse contra él. Si bien no estableció una conexión directa entre eso y el ataque de ransomware, esto más el hecho de que los servicios en la nube de Kronos están construidos con una gran cantidad de Java ha llevado a especular que el muy publicitado exploit Log4Shell podría haber estado involucrado.
Cualquiera que sea la fuente de vulnerabilidad, Erich Kron (defensor de la conciencia de seguridad en KnowBe4) señala que el período de vacaciones para muchas empresas es cuando se puede esperar que los ciberdelincuentes trabajen turnos dobles: "Las pandillas de ransomware a menudo programan los ataques para que tengan lugar cuando las organizaciones están con poco personal debido a las vacaciones, o cuando están extremadamente ocupados, con la esperanza de que el ataque tarde más en detectarse y los tiempos de respuesta sean mucho más lentos. Además, la presión para atender a los clientes durante estos momentos cruciales puede ser muy alta, lo que hace que sea más probable que la víctima pague el rescate en un esfuerzo por que las operaciones vuelvan a funcionar rápidamente... Desafortunadamente, el Grinch ha impactado mucho la Navidad. de personas que utilizan los servicios de KPC. Con suerte, esto no resultará en una suscripción al 'Club de la Jalea del Mes' en lugar de las bonificaciones anuales”.
Los ataques de Log4j aumentan después de la revelación de la vulnerabilidad
La vulnerabilidad de Log4J fue una bomba debido al alcance de las posibles víctimas (esencialmente, cualquier servidor web que ejecute Java) y la facilidad con la que un atacante podría usarla. Se reveló al público el 9 de diciembre y, al final del fin de semana siguiente, los investigadores ya habían detectado cientos de miles de ataques lanzados en todo el mundo.
Log4J, una herramienta de diagnóstico de uso común para aplicaciones Java, es tan omnipresente que se incluye en bastantes paquetes importantes de software de código abierto. El exploit permite que un atacante abra la puerta simplemente enviando una serie de comandos básicos, dando un punto de entrada para el movimiento lateral en la red de una empresa a través de los privilegios avanzados que tiene la aplicación. La vulnerabilidad ha sido reparada por el editor Apache, pero requiere que los administradores actualicen a nuevas versiones del software.
El equipo de seguridad de Microsoft ha informado que los ataques de ransomware ya se están desarrollando después de estas infracciones en al menos varios casos. Se desconoce si el proveedor de nómina solucionó la vulnerabilidad en Log4J antes de su propio ataque de ransomware, pero es probable que algunos administradores tarden semanas en llegar a ella; esto podría verse exacerbado por el aterrizaje en una temporada navideña en la que las personas comienzan a tomarse un tiempo libre de sus trabajos y las empresas generalmente relajan sus posturas hasta que llega el nuevo año.
Los clientes se quedaron en un lío, buscando nuevos proveedores de nómina antes de las vacaciones
Los clientes de Kronos no solo están fuera de un proveedor de nómina antes de una de las temporadas más ocupadas en varias industrias (y un momento común para la distribución de bonos anuales), pero también se preguntan si perdieron una variedad de datos confidenciales. Los proveedores de nómina tienen acceso a información financiera corporativa e individual que podría usarse fácilmente para robos y estafas, y los ataques de ransomware ahora comienzan con frecuencia con la exfiltración de datos como este y amenazas de publicarlos en la dark web si no se realizan los pagos.
Al momento de escribir este artículo, Kronos no ha tenido nuevas actualizaciones para estos clientes (aparte de dirigirlos a otros proveedores de nómina). El problema destaca la necesidad de planes de contingencia para ataques de ransomware, algo que era claramente inadecuado en este caso. Si bien eso recae en gran medida en Kronos en este caso, Nick Tausek (Arquitecto de soluciones de seguridad en Swimlane) toma nota de algunos elementos que todas las organizaciones deberían considerar en preparación para futuros (muy probables) ataques de ransomware: “Para disminuir la posibilidad de ataques como este sucediendo en el futuro, las empresas deberían considerar implementar una plataforma integral que centralice los protocolos de detección, respuesta e investigación en un solo esfuerzo y ayude a los equipos de seguridad a automatizar ciertas tareas. Al aprovechar el poder de la automatización de seguridad de código bajo, las empresas pueden responder a más alertas en menos tiempo, lo que reduce enormemente el riesgo de un ataque de ransomware dirigido sin aumentar la carga de trabajo del personal de operaciones de seguridad”.
Aunque no está confirmado, se especula que la #vulnerabilidad de Log4Shell estuvo involucrada en el ataque de #ransomware dado que se sabe que los servicios en la nube de Kronos están construidos en Java. #cybersecurity #respectdataHaz clic para twittearAmit Shaked, cofundador & El CEO de Laminar agrega: “Los datos ya no son una mercancía, son una moneda, como representa este incidente. La información dentro de la red de una organización es valiosa tanto para las empresas como para los atacantes. Dado que la mayoría de los datos del mundo residen en la nube, es imperativo que las organizaciones se vuelvan nativas de la nube cuando piensen en la protección de datos. Las soluciones deben estar completamente integradas con la nube para identificar riesgos potenciales y tener una comprensión más profunda de dónde residen los datos. Usando el enfoque dual de visibilidad y protección, los equipos de protección de datos pueden saber con certeza qué almacenes de datos son objetivos valiosos y garantizar que se implementen los controles adecuados, así como los flujos de respaldo y recuperación”.
TwitterFacebookLinkedIn