Ataque masivo del ransomware REvil comprometió a mas de 1000 compañías

Empresas de todo el mundo, entre ellas de Argentina, Colombia, México y España, fueron víctimas del ransomware REvil en un ataque de cadena de suministro utilizando el software de gestión de TI Kaseya VSA. El grupo ofrece un descifrador para todas las víctimas de este ataque por 70 millones de dólares.

El ataque masivo del ransomware, tambien conocida como Sodinokibi, afectó a más de 1000 compañías en al menos 17 países mediante una actualización automática del software de gestión de IT de la compañía Kaseya, este es utilizado comúnmente por proveedores de servicios administrados.

Un proveedor de servicios administrativos (MSP, por sus siglas en inglés) es una empresa que ofrece servicios de gestión de tecnología de la información (IT) de manera remota. En este caso la actualización con permisos de administrador afectó a los MSP y esto a su vez infectaron los sistemas de sus clientes con la amenaza, como fue el caso de una cadena de supermercados en Suecia que tuvo que cerrar algunos tiendas y al menos 11 escuelas en Nueva Zelanda.

Luego de los ataques a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio —que involucraron la explotación de una vulnerabilidad zero-day que estaba en proceso de ser reparada—, según datos de la telemetría de ESET se detectaron víctimas del ransomware REvil relacionadas con este ataque en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.

Según reportes del 3 de julio son cerca de 1.000 las compañías afectadas en este ataque de cadena de suministro y están trabajando con la mayor rapidez posible para contener el ataque y notificar a los equipos de TI.

El pago solicitado a cada víctima de este ataque es distinto para cada caso, llegando a 5 millones de dólares el monto más elevado que algunos investigadores aseguran haber visto. Como muchas veces hemos mencionado, los montos solicitados por los atacantes varían de acuerdo con la empresa afectada, siendo generalmente las cifras más elevadas exigidas a compañías que cuentan con mayores ganancias.

En las últimas horas el grupo REvil publicó en su sitio de la dark web que ofrece a las víctimas de Kaseya un descifrador para que puedan recuperar los archivos del cifrado a cambio de 70 millones de dólares. Según el grupo, más de un millón de sistemas fueron comprometidos. Sin embargo, los operadores detrás del grupo parecen abiertos a negociar por un precio más bajo el descifrador.

Por su parte, la Agencia Nacional de Ciberseguridad de Estados Unidos junto al FBI publicaron una guía para los proveedor de servicios administrados afectados por este ataque así como para sus clientes, que incluye, entre otros puntos, descargar la herramienta de detección de Kaseya VSA, la cual analiza un sistema e indica si se detecta la presencia de algún Indicador de compromiso.

Fuente: welivesecurity.com

Comments are closed.