El ciberataque masivo que afecta a miles de empresas y preocupa hasta a la Casa Blanca
El ataque a la compañía Kaseya ha sido perpetuado por la banda rusa de cibercriminales REvil, que dice haber atacado a más de un millón de sistemas
Ciberataque en los supermercados Coop en Suecia. (Foto: EFE)
Por
Marta Rey
"Deberías despejarte. Vuelve cuando tu mente esté más clara". Con esta actitud chulesca han respondido los hackers de REvil a algunos de los afectados por su última treta, sabiendo que tienen la sartén por el mango. Este grupo de ciberdelicuentes lleva varios días en boca de todo el mundo. ¿La razón? Haber asestado el que ya es considerado como el mayor ataque con ransomware de la historia. El objetivo de esta maniobra, que bloquea y secuestra los equipos que infecta, ha sido Kaseya, una empresa de software estadounidense que se dedica a brindar servicios de IT a distancia y que cuenta con una notable cartera con 40.000 clientes en todo el mundo.
La liebre saltó el pasado viernes 2 de julio, momento en el que la propia compañía admitió que estaba investigando la posibilidad de haber sido objeto de un ataque de este tipo. La proclama en ese momento fue instar a los clientes que usan su plataforma a desconectar inmediatamente sus equipos y servidores para evitar daños mayores. REvil no tardó en atribuirse el mérito de una acción por la que exige un rescate de aproximadamente 70 millones de dólares para descifrar los sistemas que han dejado fuera de juego.
Las consecuencias no se dejaron notar. Cientos de compañías alrededor del globo lidiaron el sábado con problemas de seguridad debido a este incidente. La cadena de supermercados sueca COOP tuvo que verse obligada a cerrar al menos 800 de sus tiendas de alimentación. No son los únicos afectados en ese país, ya que ese mismo día también sufrieron los efectos del ransomware la compañía de ferrocarril y una importante cadena de farmacias.
Esta estampa se ha repetido seguramente en muchos otros puntos del mapa, ya que se calcula que entre 800 y 1.500 empresas de las que trabajan con Kaseya podrían estar afectadas. Los indicios apuntan a que la mayoría de ellas se encuentran localizadas en EEUU, Canadá y Alemania. Según el responsable de la ESET, Josep Albors, podría haber alguna española, aunque el porcentaje sería relativamente bajo comparado con otros países.
Un rescate millonario
La petición de rescate por parte de REvil fue publicada en un blog de la 'deep web' que la banda ya habría usado con anterioridad. En su mensaje, los piratas se vanagloriaban de haber infectado a más de un millón de sistemas y mencionaban que los 70 millones de dólares debían ser entregados en bitcoin para liberar los datos de las empresas. "Publicaremos un descifrador público [...] para que todos puedan recuperarse del ataque en menos de una hora" - decían, e instaban a los interesados a ponerse en contacto con ellos siguiendo las instrucciones de uno de los archivos que acompañaban al comunicado.
Sin embargo, aunque el grupo habría estipulado una cantidad fija, parece estar haciendo las cosas de manera diferente. Ha llegado exigir a las víctimas de manera individual entre 40.000$ y 45.000$ por cada extensión de archivo cifrado, tal y como se observa en los chats que los propios hackers mantienen con las empresas afectadas.
Importante empresa de Estados Unidos afectada por el ataque a Kaseya del ransomware REvil accede a pagar 225 mil dólares 💰💰💰 - Demanda inicial 550k - El seguro de Kaseya podría cubrir el pago - Las conversaciones con los secuestradores son bien curiosas😂 pic.twitter.com/aYVFOgJE56
El ciberataque se produjo a través de un fallo de vulnerabilidad en los sistemas de la empresa conocido como ‘Zero Day’, utilizado por los piratas para causar todo tipo de estragos. Esto habría supuesto una mejora en las técnicas utilizadas por la organización, que en otras ocasiones había recurrido a una combinación de phishing, contraseñas robadas o falta de autentificación de múltiples factores.
Las víctimas fueron atacadas a través de una actualización de software de Kaseya, que resultó ser el ransomware de REvil. La compañía ha estado trabajando desde entonces en el lanzamiento de un parche para solventar los problemas de vulnerabilidad que fueron aprovechados por REvil.
La respuesta de EEUU
La dimensión del problema ha hecho que hasta la Casa Blanca tenga que pronunciase. A su llegada a Michigan el sábado, se le preguntó a Joe Biden, presidente de los EEUU sobre este asunto. Las primeras sospechas apuntaron al gobierno de Vladimir Putin, aunque el mandatario se cuidó en salud y prefirió no apuntar a su homólogo ruso, al no estar seguro de su responsabilidad. Anunció, sin embargo, haber dirigido todos los recursos del gobierno federal a la investigación.
La reacción del presidente no fue de extrañar. En la cumbre de Ginebra celebrada el 16 de junio, Joe Biden ya advirtió al presidente ruso sobre la necesidad de tomar medidas contra los piratas informáticos rusos y anunció futuras consecuencias si los ataques de ransomware continuaban.
(Foto: EFE)
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA, por sus siglas en inglés) dijo estar tomando medidas para abordar el problema, situando el ataque como prioridad en la agenda de ciberseguridad de EEUU.
Este asunto viene enfrentando a ambos países desde las elecciones estadounidenses de 2016. De hecho, el pasado jueves, autoridades estadounidenses y británicas dijeron que los espías rusos que interfirieron en las elecciones habrían pasado los últimos dos años abusando de las VPNpara atacar a organizaciones en todo el mundo, aunque la embajada rusa negó tales acusaciones.
El FBI, por su parte, alentó a las empresas afectadas a informarles si sus sistemas se habían visto comprometidos, advirtiendo que “es posible que no pueda responder a cada víctima individualmente”, pero que toda la información que reciban será útil para contrarrestar la amenaza.
Otras acciones de REvil
No es la primera vez que REvil hace de las suyas. El grupo es muy conocido dentro del sector de la seguridad por su breve pero peligroso historial delictivo. En mayo de 2020 entraron en los sistemas de Grubman Shire Meiselas & Sacks, firma que representa a artistas de la talla de Madona, Bruce Springsteen o Lady Gaga, y robaron 756 gigas de material de esta última.
En esa ocasión, pidieron un rescate que ascendió hasta los 42 millones de dólares y, ante la negativa por parte de la empresa, publicaron parte de la información robada y subastaron el resto. Además, meses más tarde, en julio de 2020 fueron los responsables del ciberataque que sufrió la empresa española Adif, a la que robaron más de 800 gigas de información privada y sensible.
"Deberías despejarte. Vuelve cuando tu mente esté más clara". Con esta actitud chulesca han respondido los hackers de REvil a algunos de los afectados por su última treta, sabiendo que tienen la sartén por el mango. Este grupo de ciberdelicuentes lleva varios días en boca de todo el mundo. ¿La razón? Haber asestado el que ya es considerado como el mayor ataque con ransomware de la historia. El objetivo de esta maniobra, que bloquea y secuestra los equipos que infecta, ha sido Kaseya, una empresa de software estadounidense que se dedica a brindar servicios de IT a distancia y que cuenta con una notable cartera con 40.000 clientes en todo el mundo.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5f9%2Fb4e%2F72b%2F5f9b4e72b2cac47d0c1f5da2a37b2c5d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F698%2Fb52%2F4b2%2F698b524b22e22f6605d0287de0f47c0a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff64%2F29a%2F647%2Ff6429a6470e0da7f2b6ffb5958b60e95.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff64%2F29a%2F647%2Ff6429a6470e0da7f2b6ffb5958b60e95.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdaa%2F6ae%2F753%2Fdaa6ae7534909f9a84acda0f00315574.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb54%2F3ba%2F723%2Fb543ba723c910451067587fd25acd4fb.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa75%2F827%2F9c3%2Fa758279c3a0cd83903d19b77781eda58.jpg)