Emergen los detalles del ataque de ransomware Kaseya que afecta a 17 países

Un afiliado de la notoria banda REvil infectó a miles de víctimas en al menos 17 países el viernes, principalmente a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes.

Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware global más grande registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable rompió la compañía cuyo software era el conducto.

Un afiliado de la notoria banda REvil, mejor conocido por extorsionar USD 11 millones al procesador de carne JBS después de un ataque del Día de los Caídos, infectó a miles de víctimas en al menos 17 países el viernes, en gran parte a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes. , dijeron los investigadores de ciberseguridad . Informaron demandas de rescate de hasta 5 millones de dólares.

El FBI dijo en un comunicado el domingo que estaba investigando el ataque junto con la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad , aunque «la escala de este incidente puede hacer que no podamos responder a cada víctima individualmente».

El presidente Joe Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado. Dijo que había pedido a la comunidad de inteligencia una «inmersión profunda» sobre lo sucedido.

El ataque se produce menos de un mes después de que Biden presionó al presidente ruso Vladimir Putin para que dejara de brindar refugio seguro a REvil y otras bandas de ransomware cuyos implacables ataques extorsivos que Estados Unidos considera una amenaza a la seguridad nacional.

Una amplia gama de empresas y agencias públicas se vieron afectadas por el último ataque, aparentemente en todos los continentes, incluidos los servicios financieros, los viajes y el ocio y el sector público, aunque pocas grandes empresas, informó la firma de ciberseguridad Sophos. Los delincuentes de ransomware irrumpen en las redes y siembran malware que paraliza las redes al activarse codificando todos sus datos. Las víctimas reciben una clave decodificadora cuando pagan.

La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. También se vieron afectadas una cadena de farmacias sueca, una cadena de gasolineras, el ferrocarril estatal y la emisora ​​pública SVT.

En Alemania, una empresa de servicios de TI no identificada dijo a las autoridades que varios miles de sus clientes estaban comprometidos, informó la agencia de noticias dpa. También entre las víctimas reportadas se encontraban dos grandes empresas holandesas de servicios de TI, VelzArt y Hoppenbrouwer Techniek. La mayoría de las víctimas de ransomware no denuncian públicamente los ataques ni revelan si han pagado rescates.

El CEO Fred Voccola de la compañía de software violada, Kaseya, calculó el número de víctimas en miles, en su mayoría pequeñas empresas como «consultorios dentales, firmas de arquitectura, centros de cirugía plástica, bibliotecas, cosas así».

Los expertos dicen que no fue una coincidencia que REvil lanzara el ataque al comienzo del fin de semana festivo del 4 de julio, sabiendo que las oficinas de EE. UU. Contarían con poco personal. Es posible que muchas víctimas no se enteren hasta que regresen al trabajo el lunes. La gran mayoría de los clientes finales de los proveedores de servicios administrados «no tienen idea» de qué tipo de software se usa para mantener sus redes funcionando, dijo Voccola. Kaseya dijo que envió una herramienta de detección a casi 900 clientes el sábado por la noche.

John Hammond de Huntress Labs, una de las primeras firmas de ciberseguridad en hacer sonar la alarma sobre el ataque, dijo que había visto demandas de USD 5 millones y USD 500,000 por parte de REVil por la clave descifradora necesaria para desbloquear redes codificadas. La menor cantidad exigida parece haber sido de USD 45.000.

Las pandillas sofisticadas de ransomware al nivel de REvil generalmente examinan los registros financieros de una víctima y las pólizas de seguro, si pueden encontrarlas, de los archivos que roban antes de activar el malware de codificación de datos. Luego, los delincuentes amenazan con descargar los datos robados en línea a menos que se les pague. Sin embargo, no quedó claro de inmediato si este ataque involucró el robo de datos. El mecanismo de infección sugiere que no fue así.

«Robar datos generalmente requiere tiempo y esfuerzo del atacante, lo que probablemente no sea factible en un escenario de ataque como este, donde hay tantas organizaciones de víctimas pequeñas y medianas», dijo Ross McKerchar, director de seguridad de la información de Sophos. «No hemos visto evidencia de robo de datos, pero aún es temprano y solo el tiempo dirá si los atacantes recurren a jugar esta carta en un esfuerzo por hacer que las víctimas paguen».

Investigadores holandeses dijeron que alertaron a Kaseya, con sede en Miami, sobre la violación y dijeron que los delincuentes usaron un «día cero», el término de la industria para un agujero de seguridad desconocido anterior en el software. Voccola no confirmó eso ni ofreció detalles de la infracción, excepto para decir que no fue phishing.

«El nivel de sofisticación aquí fue extraordinario», dijo.

Cuando la firma de ciberseguridad Mandiant finalice su investigación, Voccola dijo que confía en que demostrará que los delincuentes no solo violaron el código de Kaseya al irrumpir en su red, sino que también explotaron vulnerabilidades en software de terceros.

No fue el primer ataque de ransomware que aprovechó los proveedores de servicios administrados. En 2019, los delincuentes obstaculizaron las redes de 22 municipios de Texas a través de uno. Ese mismo año, 400 consultorios dentales estadounidenses quedaron paralizados en otro ataque.

Fuente: business-standard

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.