• Eduardo J. Villarreal S.

REvil exige $70 millones de dólares de ransomware para desbloquear miles computadoras

(WSJ) - El director de la compañía en el centro de un hackeo generalizado que ha afectado a cientos de empresas dijo que informó a la Casa Blanca y que los atacantes exigen un pago único de ransomware de $70 millones de dólares.



Se estima que el ciberataque que comenzó a desarrollarse el viernes afectó a cientos de empresas, en su mayoría pequeñas y medianas, y a decenas de miles de computadoras. Rápidamente hizo saltar las alarmas en los círculos de seguridad nacional de Estados Unidos por la preocupación de que pudiera tener efectos de largo alcance.


El lunes, Fred Voccola, director ejecutivo de Kaseya Ltd., cuyo software fue el objetivo del ataque, habló con la asesora adjunta de seguridad nacional Anne Neuberger sobre el evento mientras la compañía aún luchaba por restaurar los servicios a sus clientes, dijo Voccola. Voccola le dijo a la Casa Blanca que Kaseya no estaba al tanto de ninguna infraestructura crítica que hubiera sido afectada por el ransomware ni de ninguna víctima relacionada con la seguridad nacional, dijo en una entrevista el lunes.


Una portavoz de la Casa Blanca no hizo comentarios de inmediato.



Los piratas informáticos detrás del ataque de ransomware dijeron que, tras el pago, lanzarán un "descifrador universal" que desbloquearía las computadoras que habían sido encriptadas e inutilizadas por el ataque, según una nota publicada en el sitio web del grupo el domingo. El Voccola se negó a discutir el tema del pago.


El incidente del ransomware ha suscitado preocupaciones porque muchas empresas de tecnología utilizan el software VSA de Kaseya para proporcionar servicios de administración de computadoras, lo que podría brindar una puerta de entrada a otras víctimas. El ataque encerró computadoras en escuelas en Nueva Zelanda y encerró cajas registradoras en Coop, una cadena de supermercados sueca que se vio obligada a cerrar algunos puntos de venta.


Voccola dijo que los sistemas corporativos de Kaseya no se habían visto comprometidos durante el ataque, pero que la empresa cerró de manera protectora los servidores que brindaban sus servicios en línea. Los empleados han estado trabajando durante el fin de semana para restaurar los servicios y probar y lanzar un parche a los usuarios de su software VSA que solucionará los problemas explotados por los piratas informáticos, dijo. Ese parche debería ser lanzado dentro de "horas", dijo Voccola el lunes por la tarde.


Los piratas informáticos pudieron distribuir ransomware explotando varias vulnerabilidades en el software VSA, dijo una portavoz de Kaseya.


Uno de ellos, descubierto por un investigador de seguridad holandés, estaba en proceso de ser parcheado por Kaseya antes de que ocurriera el ataque de ransomware, dijo Victor Gevers, presidente del grupo de seguridad dirigido por voluntarios, el Instituto Holandés de Divulgación de Vulnerabilidades.


"Kaseya entendió el problema y se apresuraron a producir un parche", dijo Gevers. Gevers dijo que el error se debió a un simple error en el código de la empresa.

Aproximadamente 50 de los clientes de Kaseya se vieron comprometidos y aproximadamente 40 de esos clientes eran vendedores de servicios de TI, conocidos como proveedores de servicios administrados, dijo Voccola. Al irrumpir en los MSP, los piratas informáticos pudieron expandir su impacto, realizando lo que los expertos en seguridad llaman un ataque a la cadena de suministro.


Las empresas de seguridad estiman que cientos de organizaciones, todas ellas clientes de esos 40 proveedores de servicios, se han visto afectadas por el ransomware, lo que lo convierte en uno de los incidentes más extendidos hasta la fecha. Pero casi todas son organizaciones pequeñas y medianas, dijeron los expertos en ciberseguridad, y el impacto a menudo no es evidente de inmediato para el público en general.


“Un MSP típico tiene, aproximadamente, 40 clientes finales. El promedio de uno de sus clientes tiene alrededor de 20 puntos finales y ni siquiera todos los puntos finales fueron violados ”, dijo el Sr. Voccola en referencia a los proveedores de servicios administrados.
"Todavía son demasiados, no me malinterpretes".

Las preocupaciones sobre el ransomware están en su punto más alto, luego de ataques extremadamente disruptivos contra Colonial Pipeline y el procesador de alimentos JBS SA.


En mayo, el presidente Biden ordenó a las agencias estadounidenses y a los contratistas de software que los suministran que refuercen sus defensas contra los ciberataques que, según los funcionarios, representan una amenaza creciente para la seguridad nacional y la seguridad pública.



Los piratas informáticos detrás del último incidente se conocen como el grupo de ransomware REvil. Están pidiendo $70 millones de dólares para desbloquear todos los sistemas afectados, pero las víctimas del grupo también pueden pagar montos que varían entre $25,000 y $5 millones de dólares directamente para desbloquear sus sistemas, incluso si nadie paga los $70 millones.


El viernes, REvil afirmó haber infectado 40,000 computadoras. Para el domingo, esa afirmación se había disparado a 1 millón, una afirmación que muchos expertos en ciberseguridad trataron con escepticismo.


"Un millón parece una sobreestimación enorme", dijo Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft.

Cuando se contactó a través de un intermediario, REvil se negó a comentar. “No necesitamos mucho ruido. Solo dinero”, dijo uno de los miembros del grupo al intermediario, dijo la persona.

La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional aconsejó a los usuarios de Kaseya que apagaran sus servidores VSA el viernes y ha estado monitoreando la situación.


Durante el fin de semana, el presidente Biden dijo a los periodistas que había sido informado sobre el ataque y que los funcionarios estadounidenses estaban tratando de determinar el alcance de la participación del gobierno ruso. Agregó que advirtió al presidente ruso Vladimir Putin que Estados Unidos respondería a los ciberataques patrocinados por el gobierno ruso. En una cumbre reciente con Putin, el presidente de Estados Unidos abordó la ciberseguridad y dijo que la infraestructura crítica debería estar fuera de los límites de los ataques.


Con este último ataque, REvil, que hace aproximadamente un mes cobró un pago de $11 millones de dólares de JBS, parece indicar que no ha sido disuadido.


"Desde Colonial, han indicado que no retrocederán y que se centrarán aún más en los objetivos estadounidenses", dijo Chris Krebs, socio de la consultora de seguridad Krebs Stamos Group LLC.
"Lo que estamos viendo aquí es una señal de que estos muchachos están aquí para quedarse".