Ataque de ransomware antes de las vacaciones deja a las empresas luchando

Ataque de ransomware antes de las vacaciones deja a las empresas luchando

Empresas de todo el mundo se apresuraron el sábado a contener un ataque de ransomware que paralizó sus redes informáticas, una situación complicada en los EE. UU. Por oficinas con poco personal al comienzo del fin de semana festivo del 4 de julio.

Todavía no se sabe cuántas organizaciones se han visto afectadas por las demandas de que paguen un rescate para que sus sistemas vuelvan a funcionar. Pero algunos investigadores de ciberseguridad predicen que el ataque dirigido a los clientes del proveedor de software Kaseya podría ser uno de los ataques de ransomware más amplios registrados, incluso después de una gran cantidad de ataques que acapararon los titulares en los últimos meses.

“El número de víctimas aquí ya supera las mil y probablemente llegará a decenas de miles”, dijo el experto en ciberseguridad Dmitri Alperovitch del grupo de expertos Silverado Policy Accelerator. «Ninguna otra campaña de ransomware se acerca en términos de impacto».

La firma de ciberseguridad ESET dice que hay víctimas en al menos 17 países, incluidos Reino Unido, Sudáfrica, Canadá, Argentina, México y España.

En Suecia, la mayoría de las 800 tiendas de la cadena de supermercados Coop no pudieron abrir porque sus cajas registradoras no funcionaban, según SVT, la emisora ​​pública del país. También se vieron afectados los ferrocarriles estatales suecos y una importante cadena de farmacias local.

Los expertos en ciberseguridad dicen que la banda REvil, un importante sindicato de ransomware de habla rusa, parece estar detrás del ataque que tuvo como objetivo a la empresa de software Kaseya, utilizando su paquete de administración de red como un conducto para difundir el ransomware a través de proveedores de servicios en la nube.

El CEO de Kaseya, Fred Voccola, dijo en un comunicado que la compañía cree que ha identificado la fuente de la vulnerabilidad y que «lanzará ese parche lo más rápido posible para que nuestros clientes vuelvan a estar en funcionamiento».

Voccola dijo que se sabía que menos de 40 de los clientes de Kaseya estaban afectados, pero los expertos dijeron que el ransomware aún podría estar afectando a cientos de empresas más que dependen de los clientes de Kaseya que brindan servicios de TI más amplios.

John Hammond, de la firma de seguridad Huntress Labs, dijo que estaba al tanto de una serie de proveedores de servicios administrados (empresas que alojan infraestructura de TI para múltiples clientes) que están siendo atacados por el ransomware, que encripta las redes hasta que las víctimas pagan a los atacantes.

«Es razonable pensar que esto podría afectar potencialmente a miles de pequeñas empresas», dijo Hammond, basando su estimación en los proveedores de servicios que se comunicaron con su empresa para obtener ayuda y comentarios sobre Reddit que muestran cómo otros están respondiendo.

Al menos algunas víctimas parecían estar recibiendo rescates fijados en $ 45,000, considerada una demanda pequeña pero que podría sumarse rápidamente cuando se busca entre miles de víctimas, dijo Brett Callow, experto en ransomware de la firma de ciberseguridad Emsisoft.

Callow dijo que no es raro que bandas sofisticadas de ransomware realicen una auditoría después de robar los registros financieros de una víctima para ver lo que realmente pueden pagar, pero eso no será posible a esta escala.

“Simplemente lanzaron el monto de la demanda a un nivel que la mayoría de las empresas estarán dispuestas a pagar”, dijo.

Voccola dijo que el problema solo afecta a sus clientes «en las instalaciones», lo que significa que las organizaciones tienen sus propios centros de datos. No está afectando sus servicios basados ​​en la nube que ejecutan software para los clientes, aunque Kaseya también cerró esos servidores como precaución, dijo.

La compañía agregó en un comunicado el sábado que «los clientes que experimentaron ransomware y reciben una comunicación de los atacantes no deben hacer clic en ningún enlace, ya que pueden estar armados».

El analista de Gartner, Katell Thielemann, dijo que está claro que Kaseya rápidamente se puso en acción, pero no está tan claro si sus clientes afectados tenían el mismo nivel de preparación.

“Reaccionaron con mucha precaución”, dijo. «Pero la realidad de este evento es que fue diseñado para un impacto máximo, combinando un ataque a la cadena de suministro con un ataque de ransomware».

Ataques a la cadena de suministro son aquellos que normalmente se infiltran en software ampliamente utilizado y propagan malware a medida que se actualiza automáticamente.

Lo que complica la respuesta es que sucedió al comienzo de un importante fin de semana festivo en EE. UU., Cuando la mayoría de los equipos de TI corporativos no cuentan con todo el personal.

Eso también podría dejar a esas organizaciones incapaces de abordar otras vulnerabilidades de seguridad, un error de Microsoft tan peligroso que afecta al software para trabajos de impresión, dijo James Shank, de la firma de inteligencia de amenazas Team Cymru.

“Los clientes de Kaseya se encuentran en la peor situación posible”, dijo. «Están compitiendo contra el tiempo para obtener actualizaciones sobre otros errores críticos».

Shank dijo que «es razonable pensar que los piratas informáticos planearon el momento» para las vacaciones.

La Cámara de Comercio de EE. UU. Dijo que estaba afectando a cientos de empresas y era “otro recordatorio de que el gobierno de EE. UU. Debe luchar contra estos sindicatos extranjeros de ciberdelincuentes” investigándolos, interfiriendo y procesándolos.

La Agencia Federal de Seguridad de Infraestructura y Ciberseguridad dijo en un comunicado que está monitoreando de cerca la situación y trabajando con el FBI para recopilar más información sobre su impacto.

CISA instó a cualquier persona que pudiera verse afectada a «seguir las instrucciones de Kaseya para cerrar los servidores VSA de inmediato». Kaseya ejecuta lo que se llama un administrador de sistema virtual, o VSA, que se usa para administrar y monitorear de forma remota la red de un cliente.

La empresa privada Kaseya tiene su sede en Dublín, Irlanda, con una sede en Estados Unidos en Miami.

REvil, el grupo que la mayoría de los expertos han vinculado al ataque, era el mismo proveedor de ransomware que el FBI vinculó con un ataque a JBS SA, un importante procesador de carne mundial obligado a pagar un rescate de 11 millones de dólares, en medio del fin de semana festivo del Día de los Caídos en mayo.

Activo desde abril de 2019, el grupo proporciona ransomware como servicio, lo que significa que desarrolla el software paralizante de la red y lo alquila a los llamados afiliados que infectan objetivos y ganan la mayor parte de los rescates.

Los funcionarios estadounidenses han dicho que las bandas de ransomware más potentes tienen su sede en Rusia y los estados aliados y operan con la tolerancia del Kremlin y, a veces, se confabulan con los servicios de seguridad rusos.

Alperovitch dijo que cree que el último ataque tiene motivaciones financieras y no está dirigido por el Kremlin.

Sin embargo, dijo que muestra que el presidente ruso Vladimir Putin «aún no se ha movido» en el cierre de los ciberdelincuentes dentro de Rusia después de que el presidente estadounidense Joe Biden lo presionó para que lo hiciera en su cumbre de junio en Suiza.

Cuando se le preguntó sobre el ataque durante un viaje a Michigan el sábado, Biden dijo que le habían informado que no estaba seguro de si los rusos eran los responsables. Dijo que esperaba saber más para el domingo.

Los reporteros de AP Frank Bajak en Boston y Eric Tucker en Washington contribuyeron a este informe.