El ransomware afecta a cientos de empresas estadounidenses, según una firma de seguridad

WASHINGTON – Un ataque de ransomware paralizó las redes de al menos 200 empresas estadounidenses el viernes, según un investigador de ciberseguridad cuya empresa estaba respondiendo al incidente.

La banda REvil, un importante sindicato de ransomware de habla rusa, parece estar detrás del ataque, dijo John Hammond, de la firma de seguridad Huntress Labs. Dijo que los delincuentes atacaron a un proveedor de software llamado Kaseya, utilizando su paquete de administración de red como un conducto para difundir el ransomware a través de proveedores de servicios en la nube. Otros investigadores estuvieron de acuerdo con la evaluación de Hammond.

“Kaseya maneja desde grandes empresas hasta pequeñas empresas a nivel mundial, por lo que, [this] tiene el potencial de extenderse a empresas de cualquier tamaño o escala “, dijo Hammond en un mensaje directo en Twitter.” Este es un ataque colosal y devastador a la cadena de suministro “.

Estos ciberataques suelen infiltrarse en software ampliamente utilizado y propagar malware a medida que se actualiza automáticamente.

No estaba claro de inmediato cuántos clientes de Kaseya podrían verse afectados o quiénes podrían ser. Kaseya instó a los clientes en un comunicado en su sitio web a apagar de inmediato los servidores que ejecutan el software afectado. Dijo que el ataque se limitó a un “pequeño número” de sus clientes.

Brett Callow, un experto en ransomware de la firma de ciberseguridad Emsisoft, dijo que no tenía conocimiento de ningún ataque previo de ransomware a la cadena de suministro a esta escala. Ha habido otros, pero fueron bastante menores, dijo.

“Esto es SolarWinds con ransomware”, dijo. Se refería a una campaña rusa de piratería informática de ciberespionaje descubierta en diciembre que se propagó al infectar el software de gestión de redes para infiltrarse en agencias federales de EE. UU. Y decenas de corporaciones.

El investigador de ciberseguridad Jake Williams, presidente de Rendition Infosec, dijo que ya estaba trabajando con seis empresas afectadas por el ransomware. No es casualidad que esto sucediera antes del fin de semana del 4 de julio, cuando el personal de TI es escaso, agregó.

“No tengo ninguna duda de que el momento fue intencional”, dijo.

Hammond de Huntress dijo que estaba al tanto de cuatro proveedores de servicios administrados, compañías que albergan infraestructura de TI para múltiples clientes, que están siendo atacados por el ransomware, que encripta las redes hasta que las víctimas pagan a los atacantes. Dijo que miles de computadoras fueron atacadas.

“Actualmente tenemos tres socios de Huntress que se ven afectados por aproximadamente 200 negocios que han sido encriptados”, dijo Hammond.

Hammond escribió en Twitter: “Basándonos en todo lo que estamos viendo en este momento, creemos firmemente que esto [is] REvil / Sodinikibi “. El FBI vinculó al mismo proveedor de ransomware con un ataque de mayo contra JBS SA, un importante procesador de carne a nivel mundial.

La Agencia Federal de Seguridad de Infraestructura y Ciberseguridad dijo en un comunicado el viernes por la noche que está monitoreando de cerca la situación y trabajando con el FBI para recopilar más información sobre su impacto.

CISA instó a cualquier persona que pudiera verse afectada a “seguir las instrucciones de Kaseya para cerrar los servidores VSA de inmediato”. Kaseya ejecuta lo que se llama un administrador de sistema virtual, o VSA, que se usa para administrar y monitorear de forma remota la red de un cliente.

La empresa privada Kaseya dice que tiene su sede en Dublín, Irlanda, con una sede en Estados Unidos en Miami. El Miami Herald la describió recientemente como “una de las empresas de tecnología más antiguas de Miami” en un informe sobre sus planes de contratar hasta 500 trabajadores para 2022 para el personal de una plataforma de ciberseguridad recientemente adquirida.

Brian Honan, un consultor de ciberseguridad irlandés, dijo por correo electrónico el viernes que “este es un ataque clásico a la cadena de suministro en el que los delincuentes han comprometido a un proveedor confiable de empresas y han abusado de esa confianza para atacar a sus clientes”.

Dijo que puede ser difícil para las empresas más pequeñas defenderse de este tipo de ataque porque “confían en la seguridad de sus proveedores y en el software que utilizan”.

La única buena noticia, dijo Williams, de Rendition Infosec, es que “muchos de nuestros clientes no tienen Kaseya en todas las máquinas de su red”, lo que dificulta que los atacantes se muevan a través de los sistemas informáticos de una organización.

Eso facilita la recuperación, dijo.

Activo desde abril de 2019, el grupo conocido como REvil proporciona ransomware como servicio, lo que significa que desarrolla el software paralizante de la red y lo alquila a los llamados afiliados que infectan objetivos y ganan la mayor parte de los rescates.

REvil se encuentra entre las bandas de ransomware que roban datos de los objetivos antes de activar el ransomware, lo que fortalece sus esfuerzos de extorsión. El pago de rescate promedio al grupo fue de alrededor de medio millón de dólares el año pasado, dijo la firma de ciberseguridad de Palo Alto Networks en un informe reciente.

Algunos expertos en ciberseguridad predijeron que podría ser difícil para la pandilla manejar las negociaciones del rescate, dada la gran cantidad de víctimas, aunque el largo fin de semana festivo en Estados Unidos podría darle más tiempo para comenzar a trabajar en la lista.

——

Bajak informó desde Boston; O’Brien contribuyó desde Providence, Rhode Island.

Related Stories