• Eduardo J. Villarreal S.

Ataque de ransomware de este fin de semana es probablemente el más grande de la historia

(WSJ) - Un nuevo ataque de ransomware vinculado al grupo que afectó al productor de carne JBS SA se prolongó hasta un tercer día mientras los funcionarios de seguridad cibernética se apresuraron a remediar el ataque que creen que probablemente infectó a cientos de organizaciones en todo el mundo y a decenas de miles de computadoras.



El grupo, conocido como REvil, ha centrado su ataque en Kaseya VSA, software utilizado por grandes empresas y proveedores de servicios de tecnología para administrar y distribuir actualizaciones de software a sistemas en redes informáticas, según investigadores de seguridad y el fabricante de VSA, Kaseya Ltd.


REvil es un conocido proveedor de ransomware, software malicioso que bloquea la computadora de la víctima hasta que se paga un rescate digital, generalmente en forma de bitcoin. Este último ataque parece ser el más grande de la historia. El incidente puede haber infectado hasta 40,000 computadoras en todo el mundo, según expertos en ciberseguridad.


El uso de socios confiables como fabricantes de software o proveedores de servicios para identificar y comprometer a nuevas víctimas, a menudo llamado ataque a la cadena de suministro, es inusual en los casos de ransomware, en los que los piratas informáticos cierran los sistemas de las instituciones y exigen pagos para permitirles recuperar control. El incidente de Kaseya parece ser el ataque de este tipo más grande y significativo hasta la fecha, dijo Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft.


Entre los afectados se encontraba una cadena de supermercados en Suecia. La compañía dijo que en algunos casos sus cajas registradoras se vieron afectadas por el ataque, lo que provocó que muchas de sus tiendas permanecieran cerradas el sábado. La compañía dijo el domingo que pudo abrir puntos de venta adicionales, aunque algunas tiendas permanecieron cerradas.


Al enterarse del ataque el viernes, Kaseya cerró inmediatamente sus servidores y comenzó a advertir a los clientes, dijo la compañía. El viernes por la noche dijo que solo los clientes que ejecutan el software en sus propios servidores, en lugar de los usuarios del servicio en línea de Kaseya, parecen haberse visto afectados. La compañía ha recomendado que los usuarios de su software mantengan esos productos fuera de línea hasta nuevo aviso. La compañía también mantiene sus propios servicios basados ​​en la nube fuera de línea hasta que determine que puede reiniciarlos de manera segura, dijo Kaseya.


En una actualización el domingo por la mañana, la compañía dijo que tenía como objetivo tener una solución lista para implementar en los clientes en las próximas 24 a 48 horas y restaurar sus servicios basados ​​en la nube aproximadamente en la misma línea de tiempo. También ha comenzado a implementar una herramienta para ayudar a los clientes a determinar si sus sistemas estaban infectados.


La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional de Estados Unidos aconsejó a los usuarios de Kaseya que apagaran sus servidores VSA de inmediato.


"CISA está monitoreando de cerca esta situación y estamos trabajando con el FBI para recopilar información sobre su impacto", dijo Eric Goldstein, director asistente ejecutivo de ciberseguridad de la agencia.

Kaseya dice que menos de 40 de sus más de 36,000 clientes se vieron afectados por el incidente. Sin embargo, más de 30 de estos clientes eran proveedores de servicios, dijo el sábado una portavoz de la compañía. Esos proveedores, a su vez, tienen muchos más clientes que podrían haber sido potencialmente afectados.


La mayoría de los clientes de estos proveedores son organizaciones pequeñas y medianas, dijo Kyle Hanslovan, director ejecutivo de la firma de seguridad Huntress.


Si bien la causa del ataque aún se está investigando, es "muy probable que haya alguna vulnerabilidad o una falla que se esté explotando en masa en VSA", dijo Hanslovan.


Los grupos de ransomware, incluido REvil, se han dirigido a proveedores de servicios en el pasado, incluso con un ataque en 2019 que afectó al menos a 22 municipios en Texas, dijo Callow de Emsisoft.


"Nunca había visto un ataque de ransomware impactar a tantas empresas a la vez", dijo Al Saikali, socio del bufete de abogados Shook, Hardy & Bacon LLP, que fue contratado para consultar sobre seis ataques de ransomware relacionados con el incidente de VSA el viernes.

En su día anterior más ocupado, dijo, lo habían contratado a dos clientes. Las demandas de rescate en los seis ataques oscilaron entre $25,000 y $150,000 dólares, dijo.


Para los propios proveedores de servicios, las demandas son mayores: en un caso, $5 millones de dólares, dijo Hanslovan.


El ransomware se ha convertido en uno de los problemas de seguridad más graves del país en los últimos años, ya que los piratas informáticos se han dirigido a empresas, hospitales, escuelas y otras instituciones. Los atacantes se han vuelto más audaces a medida que millones de personas comenzaron a usar conexiones a Internet domésticas menos seguras para el trabajo y la escuela durante los bloqueos por pandemia.


El fenómeno del ransomware se convirtió en el centro de atención en mayo cuando un ataque obligó a Colonial Pipeline Co., un importante transportista de gasolina a la costa este de Estados Unidos, a cerrar un oleoducto, secando los suministros en las estaciones de servicio en todo el sureste. Los funcionarios de inteligencia han relacionado este ataque y otros con Rusia, un cargo que los funcionarios negaron.


El presidente Biden, que viajaba por Michigan, dijo a los periodistas que había sido informado sobre el ataque y que los funcionarios estadounidenses estaban tratando de determinar el alcance de la participación del gobierno ruso.


"En primer lugar, no estamos seguros de quién es", dijo Biden cuando se le preguntó sobre el ataque.
“La idea inicial fue que no era el gobierno ruso. Pero aún no estamos seguros ".

Agregó que advirtió al presidente ruso Vladimir Putin que Estados Unidos respondería a los ciberataques patrocinados por el gobierno ruso. En una cumbre reciente con Putin, el presidente abordó la seguridad cibernética y dijo que la infraestructura crítica debería estar fuera de los límites de los ataques.


Hace aproximadamente un mes, un ataque REvil dejó temporalmente fuera de servicio a las plantas que procesan una quinta parte del suministro de carne de Estados Unidos. La unidad estadounidense de JBS pagó $11 millones de dólares en rescate a los atacantes, según un ejecutivo de la compañía.