Ciberdelincuentes demandan más de 70 millones de dólares para finalizar un ataque ransomware, uno de los mayores de la historia. Parece ser que el ataque es a cargo de un grupo de ciberdelincuentes situados en Rusia llamados REvil.
La empresa que se ha visto afectada por este ataque se llama Kaseya, en concreto uno de sus productos, un administrador virtual sistema/servidor. El ransomware es extremadamente infeccioso, y de unos pocos servidores afectados al inicio del ataque, ha ido increscendo al pasar los días.
Kaseya es un proveedor de servicios gestionados que tiene aproximadamente 37.000 clientes. Fue atacada el fin de semana pasado cuando un miembro de REvil obtuvo acceso a los dispositivos VSA (Virtual Server Administrator) instalados en los dispositivos de los clientes. Aunque aún no se ha confirmado, se sospecha que los atacantes utilizaron un exploit en el servidor Kaseya VSA para el acceso inicial.
Cual es el producto afectado
El producto afectado se llama VSA. VSA, es un administrador de sistema/servidor virtual (Virtual System/Server Administrator). Es un paquete de software usado por los clientes de Kaseya para monitorizar y administrar su infraestructura. Se proporciona como un servicio en la nube alojado por Kaseya o mediante servidores VSA locales.
Tal es la gravedad de este asunto que incluso el presidente de Estados Unidos Joe Biden informó que los servicios de inteligencia de Estados Unidos están investigando el ataque y se tomarían medidas si al final es Rusia la causante de este ataque.
El impacto del ataque ransomware
Los equipos de ciberseguridad están trabajando para detener el impacto del ataque de ransomware global más grande registrado, y surgen algunos detalles sobre cómo la banda vinculada a Rusia. Se han aprovechado de un error de software, un 0-day.
Un grupo de delincuentes REvil, mejor conocido por extorsionar a la procesadora de carne JBS por $ 11 millones después de un ataque del Día de los Caídos (30 de mayo, se celebra en Estados Unidos), infectó a miles de víctimas en al menos 17 países, principalmente a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes dijeron los investigadores de ciberseguridad.
REvil estaba exigiendo rescates de hasta $ 5 millones, dijeron los investigadores. Pero el domingo por la noche ofreció en una publicación en su sitio web oscuro una clave de software de descifrado universal que descifraría todas las máquinas afectadas a cambio de $ 70 millones en criptomonedas.
Inicio del ataque ransomware
La empresa tuvo constancia del ataque el 2 de julio de 2021 e informó ese mismo día que estaban investigando un potencial ataque contra VSA. Indicaban ese día que se limitaba a un pequeño número de clientes locales únicamente. Se cerrados proactivamente los servidores SaaS (Software as a Service, servidores en internet) por precaución.
Algunas empresas de seguridad informaron a Kaseya también del incidente de seguridad y mantienen con ellos una estrella colaboración desde el primer día.
Acciones llevadas a cabo por la empresa Kaseya
Todas las acciones que lleva a cabo la compañía se muestran en cronológicamente en esta dirección web -> https://www.kaseya.com/potential-attack-on-kaseya-vsa/.
Referencias
- https://twitter.com/troyhunt/status/1412276963096502274
- https://www.kaseya.com/get-started/vsa-demo/
- https://www.kaseya.com/products/vsa/
- https://www.cbsnews.com/news/kaseya-atttack-biggest-known-ransomware/
- https://www.reuters.com/technology/hackers-demand-70-million-liberate-data-held-by-companies-hit-mass-cyberattack-2021-07-05/
- https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-kaseya-ransomware-attack/layout_view