El ataque de ransomware Kaseya por parte de REvil es el más grande registrado

BOSTON – Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware global más grande que se haya registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable violó la compañía cuyo software era el conducto.

Un afiliado de la notoria banda REvil, mejor conocido por extorsionar a la procesadora de carne JBS por $ 11 millones después de un ataque del Día de los Caídos, infectó a miles de víctimas en al menos 17 países el viernes, principalmente a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes. dijeron los investigadores de ciberseguridad. Informaron demandas de rescate de hasta $ 5 millones.

El FBI dijo en un comunicado el domingo que estaba investigando el ataque junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad federal, aunque “la escala de este incidente puede hacer que no podamos responder a cada víctima individualmente”.

El presidente Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado. Dijo que había pedido a la comunidad de inteligencia una “inmersión profunda” sobre lo sucedido.

El ataque se produce menos de un mes después de que Biden presionara al presidente ruso Vladimir Putin para que dejara de brindar refugio seguro a REvil y otras bandas de ransomware cuyos implacables ataques extorsivos que Estados Unidos considera una amenaza a la seguridad nacional.

Una amplia gama de empresas y agencias públicas se vieron afectadas por el último ataque, aparentemente en todos los continentes, incluidos los servicios financieros, los viajes y el ocio y el sector público, aunque pocas grandes empresas, informó la firma de ciberseguridad Sophos. Los delincuentes de ransomware irrumpen en las redes y siembran malware que paraliza las redes al activarse codificando todos sus datos. Las víctimas reciben una clave decodificadora cuando pagan.

La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. También se vieron afectadas una cadena de farmacias sueca, una cadena de gasolineras, el ferrocarril estatal y la emisora ​​pública SVT.

Deberías leer:   Sogas, ira y sin respuestas: dentro del alboroto por un futuro sitio de Amazon

En Alemania, una empresa de servicios de TI no identificada dijo a las autoridades que varios miles de sus clientes estaban comprometidos, informó la agencia de noticias dpa. También entre las víctimas reportadas se encontraban dos grandes empresas holandesas de servicios de TI: VelzArt y Hoppenbrouwer Techniek. La mayoría de las víctimas de ransomware no denuncian públicamente los ataques ni revelan si han pagado rescates.

El CEO Fred Voccola de la compañía de software violada, Kaseya, calculó el número de víctimas en miles, en su mayoría pequeñas empresas como “consultorios dentales, firmas de arquitectura, centros de cirugía plástica, bibliotecas, cosas así”.

Voccola dijo en una entrevista que solo entre 50 y 60 de los 37,000 clientes de la compañía estaban comprometidos. Pero el 70% eran proveedores de servicios administrados que utilizan el software VSA pirateado de la compañía para administrar varios clientes. Automatiza la instalación de software y actualizaciones de seguridad y administra copias de seguridad y otras tareas vitales.

Los expertos dicen que no fue una coincidencia que REvil lanzara el ataque al comienzo del fin de semana festivo del 4 de julio, sabiendo que las oficinas de EE. UU. Contarían con poco personal. Es posible que muchas víctimas no se enteren hasta que regresen al trabajo el lunes. La gran mayoría de los clientes finales de los proveedores de servicios gestionados “no tienen idea” de qué tipo de software se utiliza para mantener sus redes funcionando, dijo Voccola.

Kaseya dijo que envió una herramienta de detección a casi 900 clientes el sábado por la noche.

John Hammond de Huntress Labs, una de las primeras firmas de ciberseguridad en hacer sonar la alarma sobre el ataque, dijo que había visto demandas de $ 5 millones y $ 500,000 por REVil para la clave de descifrado necesaria para desbloquear redes codificadas. La menor cantidad demandada parece haber sido de $ 45.000.

Deberías leer:   Facebook crea un equipo ejecutivo para trabajar en metaverso

Las bandas sofisticadas de ransomware al nivel de REvil generalmente examinan los registros financieros de una víctima, y ​​las pólizas de seguro si pueden encontrarlas, de los archivos que roban antes de activar el malware de codificación de datos. Luego, los delincuentes amenazan con descargar los datos robados en línea a menos que se les pague. Sin embargo, no quedó claro de inmediato si este ataque involucró el robo de datos. El mecanismo de infección sugiere que no fue así.

“Robar datos normalmente requiere tiempo y esfuerzo del atacante, lo que probablemente no sea factible en un escenario de ataque como este, donde hay tantas organizaciones de víctimas pequeñas y medianas”, dijo Ross McKerchar, director de seguridad de la información de Sophos. “No hemos visto evidencia de robo de datos, pero aún es temprano y solo el tiempo dirá si los atacantes recurren a jugar esta carta en un esfuerzo por hacer que las víctimas paguen”.

Investigadores holandeses dijeron que alertaron a Kaseya, con sede en Miami, de la violación y dijeron que los delincuentes utilizaron un “día cero”, el término de la industria para un agujero de seguridad desconocido anterior en el software. Voccola no confirmó eso ni ofreció detalles de la violación, excepto para decir que no fue phishing.

“El nivel de sofisticación aquí fue extraordinario”, dijo.

Cuando la firma de ciberseguridad Mandiant termine su investigación, Voccola dijo que confía en que demostrará que los delincuentes no solo violaron el código de Kaseya al irrumpir en su red, sino que también explotaron vulnerabilidades en software de terceros.

No fue el primer ataque de ransomware que aprovechó los proveedores de servicios administrados. En 2019, los delincuentes obstaculizaron las redes de 22 municipios de Texas a través de uno. Ese mismo año, 400 consultorios dentales estadounidenses quedaron paralizados en otro ataque.

Uno de los investigadores de vulnerabilidades holandeses, Victor Gevers, dijo que su equipo está preocupado por productos como el VSA de Kaseya debido al control total de los vastos recursos informáticos que pueden ofrecer. “Cada vez más productos que se utilizan para mantener las redes seguras y protegidas muestran debilidades estructurales”, escribió en un blog el domingo.

Deberías leer:   Activision, enfrentando la agitación interna, lidia con el #MeToo Reckoning

La firma de ciberseguridad ESET identificó víctimas en al menos 17 países, incluidos Reino Unido, Sudáfrica, Canadá, Argentina, México, Indonesia, Nueva Zelanda y Kenia.

Kaseya dice que el ataque solo afectó a los clientes “en las instalaciones”, organizaciones que ejecutan sus propios centros de datos, a diferencia de sus servicios basados ​​en la nube que ejecutan software para los clientes. Sin embargo, también cerró esos servidores como medida de precaución.

Kaseya, que pidió a los clientes el viernes que apagaran sus servidores VSA de inmediato, dijo el domingo que esperaba tener un parche en los próximos días.

Activo desde abril de 2019, REvil proporciona ransomware como servicio, lo que significa que desarrolla el software que paraliza la red y lo alquila a los llamados afiliados que infectan a los objetivos y ganan la mayor parte de los rescates. Los funcionarios estadounidenses dicen que las bandas de ransomware más potentes tienen su sede en Rusia y los estados aliados y operan con la tolerancia del Kremlin y, a veces, se confabulan con los servicios de seguridad rusos.

El experto en ciberseguridad Dmitri Alperovitch, del grupo de expertos Silverado Policy Accelerator, dijo que si bien no cree que el ataque de Kaseya esté dirigido por el Kremlin, muestra que Putin “aún no se ha movido” en el cierre de los ciberdelincuentes.

Regístrese para recibir boletines informativos diarios

Copyright © 2021 The Washington Times, LLC.