Los ciberdelincuentes no paran. Siempre están buscando la manera de engañar a sus víctimas para robarles dinero e información. Aunque siempre existirán los estafadores de menor escala que se dirigen a los usuarios finales , también están los casos que sorprenden por su alcance y efectividad. Un ejemplo de ello es un ataque del ransomware REvil que ha afectado a por lo menos mil compañías en todo el mundo.
De acuerdo con la firma de ciberseguridad ESET, por el incidente del pasado fin de semana hay al menos 17 países afectados , entre los que se encuentran Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México , Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.
Entre las víctimas confirmadas de ese ataque están 11 escuelas en Nueva Zelanda y una cadena de supermercados en Suecia que tuvo que cerrar algunas tiendas, de hecho están regalando la comida fresca para que no se eche a perder, debido al ataque.
Según la compañía, el grupo REvil afirmó en una publicación en su sitio de la Dark web , que utiliza para divulgar información sobre sus víctimas, que más un millón de sistemas fueron comprometidos y que ofrecen un descifrador para todas las víctimas del ataque de Kaseya por 70 millones de dólares.
Este es uno de los ciberataques de cadena de suministro más grandes conocidos hasta ahora. Pues, aunque en un inicio Kaseya había afirmado que "menos de 40" de sus clientes se vieron afectados directamente, diversas firmas de seguridad confirmaron que más proveedores de servicios administrados también se vieron afectados comprometiendo a muchas más empresas y dejando claro los peligros de depender en gran medida de la plataforma de software de una empresa ya que si bien el número de clientes directamente afectados es pequeño, la red de la cadena de suministro parece haber creado un efecto dominó que dañó a numerosas organizaciones.
Al respecto Max Heimeneyer, Director de Detección de Amenazas en Darktrace, dijo: “El tipo de ataque lanzado contra Kaseya este fin de semana no es nuevo, pero es devastadoramente efectivo. Los ataques a la cadena de suministro de software pueden extenderse como la pólvora y son prácticamente imposibles de detectar con las herramientas de seguridad tradicionales porque el proveedor de confianza, pero comprometido, ya está dentro. Indudablemente se producirán más víctimas que las que se nombran actualmente, e incluso afectará a organizaciones que no tienen una relación directa con Kaseya”.
También alertó: “Nuestra dependencia del software se está convirtiendo rápidamente en una debilidad de seguridad importante. Las organizaciones que están construyendo resiliencia de manera efectiva contra los ataques de la cadena de suministro en rápido movimiento son aquellas que aprovechan las tecnologías de autoaprendizaje para identificar continuamente la actividad maliciosa, incluso si se origina fuera de la organización, y responder con una acción quirúrgica proporcionada.”
El ataque masivo del ransomware REvil, explicó ESET, apuntó a una cadena de suministro utilizando un instalador de una actualización automática del software de gestión de IT de la compañía Kaseya. En este caso, la actualización con permisos de administrador afectó a los MSP (proveedores de servicios administrados) y estos a su vez infectaron los sistemas de sus clientes con la amenaza.
Kaseya es una compañía que cuenta con aproximadamente 40 mil clientes y explicó en su sitio web que notificó a las personas potencialmente afectadas con la recomendación de cerrar posibles servidores VSA (su herramienta de mantenimiento remoto) de manera inmediata hasta tanto se publique el parche . Sin embargo, para muchas empresas ya había sido tarde y ya habían sido afectadas por el ransomware que cifró su información.
El ataque se dirigió a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio. Se logró gracias a la explotación de una vulnerabilidad zero-day que estaba en proceso de ser reparada. No obstante, según ESET, REvil solo cifró los archivos de las víctimas y no robó información previo al cifrado. Por lo que en este caso afecta la continuidad del servicio pero no hay peligro de una filtración de la información secuestrada. Eso significa, dijeron los especialistas, que los atacantes no accedieron a la red de la víctima, sino que abusaron de la vulnerabilidad de Kaseya VSA para distribuir y ejecutar el malware .
Kaseya dijo que había identificado la fuente probable de la falla de seguridad y estaba desarrollando un parche que sería "probado a fondo". Mientras tanto, sin embargo, la compañía instó a todos los clientes a apagar sus servidores VSA y mantenerlos fuera de línea hasta que pudieran instalar la actualización . Los clientes de software como servicio "nunca estuvieron en riesgo", agregó Kaseya, aunque la compañía eliminó esa funcionalidad como medida de precaución.