Foto.  Esta foto de archivo del 23 de febrero de 2019 muestra el interior de una computadora en Jersey City, Nueva Jersey. Los equipos de ciberseguridad trabajaron febrilmente el domingo 4 de julio de 2021 para detener el impacto del mayor ataque mundial de ransomware registrado, con algunos detalles emergentes. sobre cómo la pandilla responsable vinculada a Rusia violó la empresa cuyo software era el conducto. Un afiliado de la notoria pandilla REvil, infectó a miles de víctimas en al menos 17 países el viernes, principalmente a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes, dijeron investigadores de ciberseguridad. (Foto AP / Jenny Kane, archivo)

El ataque de ransomware más grande hasta ahora continuó afectando el lunes a medida que surgieron más detalles sobre cómo una pandilla vinculada a Rusia violó la empresa de software explotada. Básicamente, los delincuentes utilizaron una herramienta que ayuda a protegerse contra el malware para propagarlo por todo el mundo.

Miles de organizaciones, en su mayoría empresas que administran de forma remota la infraestructura de TI de otros, se infectaron en al menos 17 países en el asalto del viernes. Kaseya, cuyo producto fue explotado, dijo el lunes que incluyen a varios que acaban de regresar al trabajo.

Debido a que el ataque de la notoria pandilla REvil se produjo justo cuando comenzaba un largo fin de semana del 4 de julio, se esperaba que muchas más víctimas se enteraran de su destino cuando regresaran a la oficina el martes.

REvil es mejor conocido por extorsionar $ 11 millones al procesador de carne JBS el mes pasado. Los investigadores de seguridad dijeron que su capacidad para evadir las salvaguardas anti-malware en este ataque y su aparente explotación de una vulnerabilidad desconocida anterior en los servidores de Kaseya reflejan el creciente músculo financiero de REvil y algunas decenas de otras bandas principales de ransomware cuyo éxito les ayuda a pagar el mejor robo digital de mercancías. Estos delincuentes se infiltran en las redes y las paralizan codificando datos y extorsionando a sus víctimas.

REvil buscaba pagos de $ 5 millones de los llamados proveedores de servicios administrados que eran sus principales objetivos posteriores en este ataque, aparentemente exigiendo mucho menos, solo $ 45,000, de sus clientes afectados.

Pero el domingo por la noche, ofreció en su sitio web oscuro poner a disposición un descifrador universal que descifraría todas las máquinas afectadas si se pagaran $ 70 millones en criptomonedas. Algunos investigadores consideraron la oferta como un truco de relaciones públicas, mientras que otros pensaron que indica que los delincuentes tienen más víctimas de las que pueden manejar.

Suecia puede ser la más afectada, o al menos la más transparente sobre los daños. Su ministro de Defensa, Peter Hultqvist, lamentó en una entrevista televisiva “lo frágil que es el sistema cuando se trata de seguridad informática”. La mayoría de las 800 tiendas de la cadena de supermercados sueca Coop cerraron por tercer día y sus cajas registradoras quedaron paralizadas. También se vieron afectadas una cadena de farmacias sueca, una cadena de gasolineras, el ferrocarril estatal y la emisora ​​pública SVT.

Una amplia gama de empresas y agencias públicas se vieron afectadas, incluso en servicios financieros y viajes, pero pocas grandes empresas se vieron afectadas, dijo la firma de ciberseguridad Sophos. El Reino Unido, Sudáfrica, Canadá, Argentina, México, Indonesia, Nueva Zelanda y Kenia se encuentran entre los países afectados, dijeron los investigadores.

En un comunicado el domingo, la asesora adjunta de seguridad nacional de Estados Unidos, Anne Neuberger, instó a todas las víctimas a alertar al FBI. Un día antes, el FBI dijo en una alerta que la escala del ataque “puede hacer que no podamos responder a cada víctima individualmente”.

La gran mayoría de las víctimas de ransomware detestan admitirlo públicamente, y muchas evitan denunciar los ataques a las fuerzas del orden o revelar si pagan rescates a menos que la ley lo exija.

El presidente Joe Biden dijo el sábado que ordenó una “inmersión profunda” de la inteligencia estadounidense en el ataque y que Estados Unidos respondería si determina que el Kremlin está involucrado. En Ginebra, el mes pasado, Biden intentó presionar al presidente ruso Vladimir Putin para que pusiera fin al refugio seguro para REvil y otras bandas de ransomware que operan con impunidad en Rusia y los estados aliados siempre que eviten los objetivos nacionales. Los ataques extorsivos de los sindicatos se han agravado en el último año.

El lunes, se le preguntó al portavoz de Putin, Dmitry Peskov, si Rusia estaba al tanto del ataque o si lo había investigado. Dijo que no, pero sugirió que podría discutirse durante las consultas entre Estados Unidos y Rusia sobre cuestiones de seguridad cibernética. No se ha fijado una fecha para tales consultas y pocos analistas esperan que el Kremlin tome medidas enérgicas contra una ola de crímenes que beneficia los objetivos estratégicos de Putin de desestabilizar a Occidente.

Kaseya dijo el lunes que menos de 70 de sus 37,000 clientes se vieron afectados, aunque la mayoría eran proveedores de servicios administrados con múltiples clientes intermedios. La mayoría de los proveedores de servicios administrados podían saber el lunes si estaban afectados, pero eso puede no ser cierto para muchas de las organizaciones pequeñas y medianas a las que sirven, dijo Ross McKerchar, director de seguridad de la información de Sophos. Los MSP están volando a ciegas porque la misma herramienta de software que utilizan para monitorear las redes de los clientes fue destruida por el ataque.

La herramienta pirateada de Kaseya, VSA, mantiene de forma remota las redes de los clientes, automatizando la seguridad y otras actualizaciones de software.

En un informe del lunes sobre el ataque, Sophos dijo que un servidor VSA fue violado con el aparente uso de un “día cero”, el término de la industria para un agujero de seguridad de software previamente desconocido. Al igual que otras firmas de ciberseguridad, culpó a Kaseya por ayudar a los atacantes al pedirles a los clientes que no monitoreen sus carpetas de “trabajo” en las instalaciones en busca de malware. Desde dentro de esas carpetas, el código de REvil podría funcionar sin ser detectado para deshabilitar las herramientas de marcado de malware y ransomware del programa Defender de Microsoft.

Sophos dijo que REvil no intentó robar datos en este ataque. Las bandas de ransomware generalmente lo hacen antes de activar el ransomware, por lo que pueden amenazar con descargarlo en línea a menos que se les pague. Este ataque aparentemente fue básico, sólo datos confusos.

En una entrevista del domingo, el director ejecutivo de Kaseya, Fred Voccola, no confirmó el uso de un día cero ni ofreció detalles de la infracción, excepto para decir que no era phishing y que confiaba en que cuando una investigación de la firma de ciberseguridad esté completa, demostraría que los atacantes violaron no sólo Kaseya, sino también software de terceros.

(AP)