El ciberataque de REvil a Kaseya se salda con 1 millón de sistemas afectados

Un ciberataque mediante ransomware perpetrado el pasado viernes por el grupo de hackers REvil afectó a cientos de empresas de todo el mundo. Según recoge The Washington Post, una amplia variedad de instalaciones, entre las que se incluyen una emisora ​​pública, escuelas y un sistema ferroviario estadounidense, se vieron afectadas por el malware de cifrado de archivos, lo que provocó graves interrupciones y obligó a cerrar cientos de empresas.

Las víctimas tenían algo en común: una pieza de software de gestión de red y control remoto desarrollado por la compañía tecnológica estadounidense Kaseya. La empresa, con sede en Miami, fabrica software que se utiliza para administrar de forma remota las redes y dispositivos IT de una empresa. Ese software se vende a proveedores de servicios que luego lo utilizan para administrar las redes de sus clientes, a menudo empresas más pequeñas.

Por lo que se conoce hasta el momento, REvil, el grupo de hackers al que se asocia el ciberataque y que está vinculado a Rusia, ha utilizado una vulnerabilidad de seguridad nunca antes vista en el mecanismo de actualización del software para enviar ransomware a los clientes de Kaseya, que a su vez se propagó a sus clientes. Es posible que muchas de las empresas que finalmente fueron víctimas del ataque no supieran que sus redes estaban controladas por el software de Kaseya.

Un secuestro digital por el que los hackers pedían 70 millones de dólares

Un aviso publicado durante el fin de semana en una página de la dark web administrada por REvil se atribuyó la responsabilidad del ataque. En el aviso, los hackers decían que «se infectaron más de un millón de sistemas», pero que harían pública una herramienta de descifrado si se les pagaban 70 millones de dólares en bitcoins.

Tras el ataque, Kaseya advirtió a sus clientes, instándoles a que apagaran «inmediatamente» sus servidores en las instalaciones y sus servicios en la nube como medida de precaución.

John Hammond, investigador senior de seguridad en Huntress Labs, una empresa de detección de amenazas que fue una de las primeras en revelar el ataque, dijo que unos 30 proveedores de servicios se vieron afectados, lo que permitió que el ransomware se extendiera a «más de 1.000 empresas». La firma de seguridad ESET dijo que tiene constancia de víctimas en 17 países, incluidos el Reino Unido, Sudáfrica, Canadá, Nueva Zelanda, Kenia e Indonesia.

El lunes por la noche, Kaseya dijo en una actualización que alrededor de 60 clientes suyos se vieron afectados, y calculó el número de víctimas posteriores en menos de 1.500 empresas.

La vulnerabilidad estaba a punto de ser parcheada

Un grupo de investigadores holandeses dijeron que encontraron varias vulnerabilidades de día cero en el software de Kaseya como parte de una investigación sobre la seguridad de las herramientas de administrador basadas en la web. Los errores se comunicaron a Kaseya y estaban en proceso de solución cuando los hackers atacaron, dijo en una publicación de blog Victor Gevers, quien encabeza el grupo de investigadores.

El director ejecutivo de Kaseya, Fred Voccola, declaró a The Wall Street Journal que sus sistemas corporativos no se vieron comprometidos, lo que dio mayor credibilidad a la teoría de los investigadores de seguridad de que los servidores administrados por los clientes de Kaseya se vieron comprometidos individualmente mediante una vulnerabilidad común. La compañía dijo que todos los servidores que ejecutan el software afectado deben permanecer apagados hasta que el parche esté listo.

El ataque comenzó a última hora de la tarde del viernes, justo cuando millones de estadounidenses se desconectaban para comenzar el fin de semana del 4 de julio, día de la Independencia estadounidense. Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que el ataque se programó cuidadosamente.

«No se equivoquen, el momento y el objetivo de este ataque no son una coincidencia. Ilustra lo que definimos como un ataque de caza mayor, lanzado contra un objetivo para maximizar el impacto y las ganancias a través de una cadena de suministro durante un fin de semana festivo cuando las defensas comerciales están bajas», dijo Meyers.

El ataque con ransomware, que podría considerarse uno de los hackeos más graves de la historia, se produce en medio de una oleada de ciberataques que abruma a equipos en ciberseguridad de todo el mundo.

Imagen de Tumisu en Pixabay