El desarrollador de software de gestión de sistemas y redes Kaseya ha confirmado el verdadero alcance del ataque hacker que sufrieron sus clientes el pasado fin de semana, mientras que los atacantes ahora piden decenas de millones de dólares para devolver la información cifrada.
El ciberataque se hizo público el pasado sábado, cuando aparecieron las primeras víctimas de un ransomware creado por el grupo ruso REvil; en aquel momento, se calculaba que unas 200 instituciones se habían visto afectadas, pero hoy Kaseya ha confirmado que la cifra es muy superior. Aunque su CEO, Fred Voccola, aclara que sólo 50 de los 35.000 clientes fueron víctimas del ataque, la mayoría de estas empresas a su vez ofrecían servicio a negocios más pequeños.
Como resultado, en estos momentos la cifra de afectados supera los 1.500, convirtiéndose en el ataque de ransomware más dañino jamás registrado. Aunque Kaseya está basada en Miami, clientes de 17 países diferentes están en la lista de afectados, incluyendo una de las mayores cadenas de supermercados de Suecia, Coop. La mayoría son pequeños negocios como clínicas dentales, firmas de arquitectos y librerías.
Los ataques provienen de afiliados del grupo REvil, que saltó a la fama por los ataques dirigidos a grandes objetivos. Hace ya más de un año reclamaron 42 millones de dólares al entonces presidente de los EEUU, Donald Trump, y el pasado abril afirmaron haber robado documentos de Apple en los que se detallaban aspectos técnicos de sus nuevos productos, como el iMac con procesador M1.
En este caso, los atacantes se aprovecharon de lo que se conoce como un “bug de día 0” (Zero-day), un tipo de fallo que no es conocido públicamente y que el desarrollador aún no ha solucionado. En concreto, el problema se encuentra en el software de monitorización y gestión VSA de Kaseya, que puede ser usado en la nube o instalado en servidores locales. Se suele usar para gestionar redes de clientes, y por eso afecta a tantas empresas diferentes; el bug permite entrar en el sistema sin necesidad de autenticación, y a partir de entonces el atacante puede ejecutar comandos sin límite, algo que aprovecharon para instalar el ransomware en los sistemas.
Lo dramático del asunto es que Kaseya era consciente de la existencia de este bug, y de hecho, se encontraba en el proceso de validación de parches justo cuando se produjo el ataque. En estos momentos, no está claro si los hackers descubrieron el bug, o si fue filtrado de alguna manera; sea como sea, plantaron un ataque rápido que se hizo con el control de una gran cantidad de instancias de VSA hasta que Kaseya pudo reaccionar, cerrando su servicio en la nube y avisando a sus clientes para que hiciesen lo propio. Es gracias a esta reacción que el ataque no se extendió a más sistemas.
Kaseya ha pedido a los clientes que mantengan los servidores desconectados hasta que el parche sea lanzado y puedan reiniciarlos; no ha especificado cuándo ocurrirá esto, pero no debería tardar mucho teniendo en cuenta que el código estaba en los últimos pasos antes de su lanzamiento.
Mientras tanto, los hackers han hecho su reclamación: 70 millones de dólares, que deben ser pagados en Bitcoin, por la clave criptográfica necesaria para recuperar los archivos cifrados en los servidores. Es la mayor cifra que nadie ha pedido jamás por un ‘rescate’ semejante, pero afirman que los clientes de Kaseya no son los únicos afectados, y que han conseguido infectar más de un millón de dispositivos.
Los expertos no recomiendan pagar a los atacantes en casos de ransomware; no sólo se fomentan estas prácticas ilegales, sino que no hay ninguna garantía de recibir la clave necesaria para recuperar los archivos. Sale mucho más rentable hacer una copia de seguridad periódica y segura y recuperarla.
EL ECONOMISTA (06/07/2021)
Más información aquí
