Afecta a 200 empresas en 17 países: emergen detalles y magnitud del ciberataque de ransomware usando Kaseya
Equipos de seguridad cibernética trabajaban contra reloj el domingo para frenar el impacto del mayor ataque global de ransomware del que se tenga registro, y también surgieron algunos detalles sobre la manera en que los responsables —un grupo vinculado con Rusia— penetraron a la compañía cuyo software fue el conducto.
Los delincuentes atacaron a un proveedor de software llamado Kaseya, utilizando su paquete de administración de redes como conducto para propagar el software malicioso a través de los proveedores de servicios en la nube. Ese tipo de ciberataques tercerizados (o de cadena de suministro) generalmente se infiltran en softwares utilizados ampliamente y propagan códigos maliciosos, o malware, a medida que se actualizan automáticamente.
Una filial del grupo REvil, conocido por extorsionarle 11 millones de dólares a la empacadora de carne JBS en mayo pasado, infectó el viernes a miles de víctimas en al menos 17 países, en su mayoría a través de empresas que manejan infraestructura informática de forma remota para varios clientes, señalaron expertos en seguridad cibernética. Reportaron que exigen rescates de hasta 5 millones de dólares.
En un comunicado dado a conocer el domingo, el FBI señaló que investiga el ataque en colaboración con la Agencia de Seguridad de Infraestructura y Ciberseguridad, aunque “la magnitud de este incidente podría imposibilitar que respondamos de manera individual a cada víctima”.
La asesora adjunta de Seguridad Nacional, Anne Neuberger, emitió un comunicado poco después en el que señaló que el presidente Joe Biden “ha dirigido todos los recursos del gobierno para la investigación de este incidente”, e instó a todos aquellos que creen haber sido vulnerados a alertar al FBI.
Biden y Putin, involucrados
Biden insinuó el sábado que Estados Unidos respondería en caso que se determine que el Kremlin está involucrado.
El ataque ocurrió menos de un mes después de que Biden instó al mandatario ruso Vladimir Putin a dejar de brindar refugio a REvil y a otros grupos dedicados al ransomware, cuyos incesantes ataques de extorsión son considerados por Estados Unidos una amenaza a la seguridad nacional.
Una amplia gama de negocios y agencias públicas, al parecer en todos los continentes, resultaron afectados en el más reciente ataque, incluyendo los sectores de servicios financieros, viaje y recreación, y el sector público, aunque pocas de esas empresas eran de gran tamaño, reportó la compañía de seguridad cibernética Sophos. Los criminales dedicados al ransomware ingresan a las redes y siembran un malware que paraliza las redes al revolver todos sus datos. Las víctimas reciben una clave para descodificar la situación una vez que pagan rescate.
La cadena de tiendas de alimentos sueca Coop señaló que la mayoría de sus 800 sucursales permanecerían cerradas por segundo día consecutivo debido a que su programa para las cajas registradoras resultó afectado. En Suecia también resultaron afectadas una cadena de farmacias, gasolineras, la agencia ferroviaria estatal y la televisora pública SVT.
En Alemania, una compañía de tecnologías de la información no identificada informó a las autoridades que varios miles de sus clientes quedaron vulnerables, reportó la agencia noticiosa DPA. Entre las víctimas reportadas se encontraban dos importantes compañías holandesas de servicios informáticos: VelzArt y Hoppenbrouwer Techniek. La mayoría de las víctimas de ransomware no reportan públicamente los ataques ni revelan si pagaron rescates.
AP