El pasado 2 de Julio ocurrió un ataque de ransomware por medio de la pandilla de delitos informáticos REvil, vinculada a Rusia. Desde ese entonces, se ha desatado una corriente de múltiples infecciones que ha afectado a miles de empresas a nivel mundial.
No obstante, en medio de la controversia, un establecimiento muy reconocido contra las vulnerabilidades en Holanda, hace unos meses, reconoce haber alertado a la empresa de TI sobre una falla en su sistema de seguridad. Según su declaración con las autoridades locales, estaban siendo explotadas como una ruta de acceso para implementar ransomware desde el día cero.
Ataque de ransomware: ¿Qué es Kaseya VSA?
Kaseya VSA es una empresa de solución de monitoreo remoto y administración de TI que ofrece sus servicios a proveedores de servicios administrados. Permite el monitoreo centralizado para administrar puntos finales, automatizar procesos de TI, controlar el acceso a través de autenticación de dos factores e implementar parches de seguridad.
A raíz de esto, la compañía aseguró estar en proceso de resolver sus problemas de vulnerabilidad por medio de una divulgación coordinada de las mismas justo en el momento donde ocurrieron los ataques. A partir de entonces no se han compartido más detalles sobre a falla.
Se sabe que, al menos mil empresas, fueron afectadas por estos ataques en países, como: Reino Unido, Canadá, Argentina, México, Indonesia, Sudáfrica, y Kenia a pesar de a pesar de que el presidente de DIVD señaló que los días cero o son muy frecuentes de explotar.
Rescate de 70 millones de dólares solicitado por REvil
También, conocidos como Sodinokibi, REvil representa aproximadamente el 4,6% de los ataques dentro de los sectores públicos y privados desde su primera aparición en 2019. Ha extorsionado por más de 11 millones de dólares al procesador de carne JBS y recientemente el ataque de ransomware.
Actualmente, el grupo REvil solicita un rescate de 70 millones de dólares con el fin de publicar un descifrador universal para desbloquear todos los sistemas que fueron afectados y paralizados por el ataque de ransomware de cifrado de archivos. El comunicado fue el siguiente:
“El pasado viernes 2 de Julio de 2021, lanzamos un ataque masivo a los proveedores de MSP en el que más de 1 millón de sistemas fueron infectados”
En caso de que alguien quiera negociar sobre el descifrador universal, establecemos nuestro precio en 70.000.000 $ en BTC para publicar un descifrador público para revelar los archivos de todas las víctimas. Con él, todos podrás recuperarse del ataque en menos de una hora¨ Publicado por el grupo REvil en su página de filtración de datos en la deep web.
A raíz de ello, Kaseya, pidió ayuda a FireEye para colaborar con la investigación del incidente. Establecieron sus intenciones de volver a poner en línea los centros de datos SaaS uno a uno, comenzando con los de Reino Unido y Asia con los datos de la UE. Luego, seguirán con los centros de datos de América del Norte.
Los servidores locales de Kaseya VSA necesitarán una instalación de un parche antes del reinicio. LA compañía aseguró que está en proceso de preparación para el lanzamiento el 5 de Julio.
Asesoramiento a Kaseya por parte de CISA
A raíz de esto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió un aviso. Todos los clientes de Kaseya descargaran la herramienta de detección y compromisos para identificar cualquier indicador de compromiso.
Con ella se habilita la autenticación de múltiples factores y se limita la comunicación,. De esta forma, se activan las capacidades de administración y monitoreo remoto a pares de direcciones IP conocidas. También instala interfaces administrativas de RMM en una red privada virtual o firewall.
Barry Hensley aseguro que menos de diez organizaciones parecen haberse visto afectadas por el ataque de ransomware y el impacto se restringió solo a los sistemas que ejecutan el software Kaseya. Por lo tanto, asegura que no encontró evidencia de que REvil pretenda amenazar con propagar el ransomware a través de redes comprometidas.
Por ende, el ataque afectará principalmente a las organizaciones con Kaseya que aquellas que solo ejecutan en uno o dos servidores. A lo que añadió que el tiempo destacará cómo los atacantes continuarán con las amenazas.
¿Cómo seguirán los ataques de ransomware en el mundo?
A partir del año pasado, 2020, con el inicio de la pandemia muchos malvivientes cibernéticos implementaron sus ataques de ransomware. Miles de empresas de todo el mundo sufrieron y perdieron datos como dinero.
De esta forma, tan solo en ese año, estos virus aumentaron más de un 300% en el planeta alertando a las compañías. En su mayoría, posee sistema de seguridad muy leves y vulnerables para cualquier hacker. No caben dudas que, a partir de todos los sucesos, las autoridades y empresas empiecen a cooperar para disminuir los efectos.