Los atacantes de ransomware de Kaseya exigen 70 millones de dólares

Tres días después de que los atacantes de ransomware comenzaran el fin de semana festivo comprometiendo Kaseya VSA, tenemos una idea más clara de cuán generalizado ha sido el impacto. En una nueva demanda de rescate, los atacantes afirman haber comprometido más de 1 millón de computadoras y exigen 70 millones de dólares para descifrar los dispositivos afectados.

Los proveedores de servicios administrados utilizan el software de Kaseya para realizar tareas de TI de forma remota, pero el 2 de julio, el grupo de ransomware REvil, vinculado a Rusia, implementó una actualización de software malicioso que expone a los proveedores que usan la plataforma y a sus clientes.

El Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD) reveló que parece que el exploit utilizado para la violación fue el mismo que descubrieron y que estaban en proceso de abordar cuando los atacantes atacaron. “Ya estábamos llevando a cabo una amplia investigación sobre las herramientas de administración de sistemas y copias de seguridad y sus vulnerabilidades”, escribió DIVD. “Uno de los productos que hemos estado investigando es Kaseya VSA. Descubrimos vulnerabilidades graves en Kaseya VSA y las informamos a Kaseya, con quien hemos estado en contacto regular desde entonces ”.

El viernes, el director ejecutivo de Kaseya, Fred Vocolla, dijo que “sólo un porcentaje muy pequeño de nuestros clientes se vio afectado; actualmente se estima en menos de 40 en todo el mundo”. El vicepresidente de Sophos, Ross McKerchar, dijo en un comunicado el domingo que “este es uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestra evidencia muestra que más de 70 proveedores de servicios administrados se vieron afectados, lo que resultó en más de 350 organizaciones más afectadas. Esperamos que el alcance total de las organizaciones de víctimas sea mayor de lo que informa cualquier empresa de seguridad individual “.

Deberías leer:   Microsoft requerirá prueba de vacunación COVID-19 para ingresar a edificios en los EE. UU.

La asesora adjunta de seguridad nacional para tecnología cibernética y emergente, Anne Neuberger, hizo un seguimiento de los comentarios anteriores del presidente Biden, diciendo que “El FBI y CISA se comunicarán con las víctimas identificadas para brindar asistencia basada en una evaluación del riesgo nacional”.

Huntress Labs está participando en la respuesta al ataque y ha catalogado la mayor parte de la información disponible, diciendo que el ataque comprometió a más de 1,000 empresas que está rastreando.

Demanda de rescate del mal
Sophos

Sophos, Huntress y otros señalaron esta publicación (arriba) en el “Blog feliz” de REvil, afirmando que más de un millón de dispositivos han sido infectados y estableciendo una demanda de rescate de $ 70 millones en Bitcoin para desbloquearlos todos. REvil se ha relacionado con una serie de incidentes de ransomware, incluido un ataque que involucró a Kaseya en junio de 2019 y un incidente de alto perfil a principios de este año dirigido al proveedor de carne JBS. Sin embargo, el investigador de seguridad Marcus Hutchins expresó escepticismo sobre la afirmación del grupo, lo que sugiere que están exagerando el impacto con la esperanza de obtener un gran pago de Kaseya o de otra persona

Hasta ahora, una de las empresas más afectadas por el ataque es Coop, una línea de más de 800 tiendas de comestibles en Suecia que cerró el sábado cuando el ataque cerró sus cajas registradoras. Según una nota en su sitio web, las tiendas donde los clientes pueden comprar usando la aplicación móvil Scan & Pay de Coop han reabierto, mientras que otras ubicaciones permanecen cerradas. Los expertos han pronosticado que el martes, cuando los trabajadores regresen a las oficinas en Estados Unidos, es posible que se descubran más víctimas.

Tres días después del ataque, los servidores en la nube SaaS de Kaseya permanecen fuera de línea. La compañía dice que proporcionará un cronograma actualizado para la restauración del servidor esta noche, así como más detalles técnicos del ataque para ayudar en los esfuerzos de recuperación por parte de los clientes y los investigadores de seguridad.