Estados Unidos investiga los vínculos rusos con el poderoso ciberataque que afectó a cientos de empresas en varios países
Sospechan que detrás de la ciberextorsión está el grupo de hacker REvil, que opera en Rusia. Los piratas informáticos exigen rescate de USD 50.000 a las pequeñas empresas y de hasta USD 5 millones a las grandes
El sábado por la mañana, la empresa de tecnología de la información Kaseya confirmó que había sufrido un “sofisticado ciberataque” contra su software VSA, un conjunto de herramientas utilizadas por los departamentos de tecnología de información (TI) para gestionar y supervisar las computadoras de forma remota. Y se les habría pedido recompensas de entre 50.000 dólares -a las pequeñas empresas- y 5 millones a las de gran tamaño.
Como el software de Kaseya es utilizado por grandes empresas de TI que ofrecen servicios contratados a cientos de empresas más pequeñas, el ataque podría haberse extendido a miles de víctimas. Kaseya advirtió a todos sus casi 40.000 clientes que desconectaran su software de Kaseya inmediatamente. La empresa de ciberseguridad Huntress Labs dijo que había rastreado 20 empresas de TI, conocidas como proveedores de servicios gestionados, que habían sido atacadas. Más de 1.000 clientes de estas compañías, en su mayoría pequeñas empresas, también habían sido afectados por el hackeo, dijo Huntress Labs en Reddit.
“No me sorprendería que fueran miles de empresas”, dijo Fabian Wosar, director de tecnología de Emsisoft, una empresa que proporciona software y asesoramiento para ayudar a las organizaciones a defenderse de los ataques de ransomware. “Simplemente no lo sabemos todavía debido al largo fin de semana en Estados Unidos”.
Una importante cadena de supermercados en Suecia confirmó que había sido afectado por un ataque, lo que significa que sus cajas registradoras estaban bloqueadas. Tuvo que cerrar cientos de tiendas, dijo la empresa, Coop Sweden, en su página de Facebook.
Debido al gran número de empresas potencialmente afectadas, el ataque podría ser uno de los mayores de la historia. Los investigadores dicen que REvil, el mismo grupo de hackers que atacó al gigante mundial de la carne JBS a principios de este año, está detrás del ataque.
El asalto podría agudizar las tensiones entre Estados Unidos y Rusia, ya que se produce apenas unas semanas después de que el presidente Joe Biden se reuniera con el presidente ruso Vladimir Putin en Ginebra, advirtiéndole de que Estados Unidos haría responsable a Moscú de los ciberataques procedentes de Rusia. Muchos analistas de amenazas de ciberseguridad creen que REvil opera en gran medida desde Rusia. La reciente oleada de ataques subraya el reto al que se enfrenta el gobierno de Biden a la hora de disuadir los ataques de ransomware llevados a cabo por delincuentes que cuentan con un refugio seguro en países como Rusia.
En lugar de un ataque cuidadoso y dirigido a una sola gran empresa, este hackeo parece haber utilizado proveedores de servicios gestionados para propagarse indiscriminadamente a través de una enorme red de empresas más pequeñas. A diferencia de la mayoría de los ataques de ransomware, no parece que REvil haya intentado robar datos sensibles antes de bloquear a sus víctimas, dijo Wosar.
“En este punto, al menos parece que fue más un ataque de rociar y rezar, no trataron de exfiltrar datos de todas las víctimas”, dijo. “Fue más bien un bombardeo de alfombra”. “Creemos que hemos identificado el origen de la vulnerabilidad y estamos preparando un parche para mitigarla”, escribió el director general de Kiyesa, Fred Voccola, en un comunicado el viernes por la noche.
Los investigadores dijeron que los ciberdelincuentes estaban enviando dos notas de rescate diferentes el viernes - exigiendo 50.000 dólares a las empresas más pequeñas y 5 millones de dólares a las más grandes.
La Agencia de Ciberseguridad y Seguridad de la Infraestructura de Estados Unidos instó a las empresas en un comunicado a seguir el consejo de Kaseya y dijo que está “tomando medidas para entender y abordar el reciente ataque de ransomware de la cadena de suministro.”
“Es absolutamente el mayor ciberataque a la cadena de suministro de un estado no nacional que hayamos visto nunca”, dijo el viernes Allan Liska, investigador de la firma de ciberseguridad Recorded Future. “Y es probablemente el mayor ataque de ransomware que hemos visto, al menos el mayor desde WannaCry”.
Señaló que podría ser el mayor número de empresas que un ataque de ransomware ha afectado. Las empresas afectadas podrían ser una amplia gama de empresas pequeñas y grandes, y es probable que muchas sean pequeñas y medianas empresas que utilizan servicios de TI gestionados. Kaseya también cuenta con varios gobiernos estatales y locales como clientes, dijo Liska.
El gusano informático WannaCry afectó a cientos de miles de personas en 2017. La Agencia de Seguridad Nacional acabó vinculando al gobierno de Corea del Norte con la creación del gusano.
Los ataques de ransomware aumentaron significativamente en frecuencia y gravedad durante 2020. Un informe de un grupo de trabajo de más de 60 expertos dijo que casi 2.400 gobiernos, sistemas de salud y escuelas en el país fueron afectados por ransomware en 2020. Las organizaciones pagaron a los atacantes más de 412 millones de dólares en pagos de rescates el año pasado, según la firma de análisis Chainalysis.
Después de un ataque en mayo a Colonial Pipeline -que provocó colas de pánico en los surtidores de gasolina y estaciones de servicio vacías- el gobierno de Estados Unidos aumentó su énfasis en abordar los problemas de ciberseguridad, e instó a las empresas estadounidenses a reforzar su seguridad informática.
Los ataques de ransomware han aumentado a medida que los hackers se agrupan y forman bandas de ciberdelincuentes para extorsionar a las empresas para que paguen. Los ataques suelen ser llevados a cabo por atacantes de Rusia y Europa del Este.
Los piratas informáticos acceden al sistema informático de una empresa utilizando tácticas como el envío de correos electrónicos de “phishing”, diseñados para engañar a los empleados para que instalen inadvertidamente malware en sus ordenadores. Una vez dentro, los ciberdelincuentes bloquean partes de las redes de las empresas y exigen un pago para devolverlas al propietario. Además, los hackers suelen robar información privada de la empresa y amenazan con filtrarla en Internet si no se les paga.
Todavía no está claro cómo los atacantes accedieron al sistema de Kaseya. La compañía ha sido un objetivo popular de REvil, dijo Liska, probablemente porque sirve a muchas otras organizaciones como clientes.
Los atacantes incluyeron una nota de rescate que dirigía a las víctimas a un sitio web para pagar un rescate, aunque Liska dijo que el sitio había estado caído toda la tarde y la noche.
La portavoz de Kaseya, Dana Liedholm, dijo que su investigación del incidente está en curso, y señaló la declaración anterior de la compañía.