Un nuevo ataque masivo con ransomware está afectando a cientos de organizaciones a nivel global. Hasta ahora, la firma de ciberseguridad Sophos apunta a unas 350 organizaciones víctimas a través de 70 proveedores de servicios de Kaseya, la compañía afectada. El grupo de ciberdelincuentes REvil está presuntamente detrás.
Su impacto es tal que Mark Loman, Director de Ingeniería de Sophos, lo comparó con el caso WannaCry registrado en 2017.
En Unocero nos acercamos a esta compañía de seguridad para conocer los detalles y particularidades de este nuevo ataque, que ya investiga.
“Lo vemos como un ataque de distribución de la cadena de suministro”, explicó Loman. “Los adversarios están utilizando los MSP como método de distribución para afectar a tantas empresas como sea posible, independientemente del tamaño o el tipo de industria”.
De acuerdo con la firma, los proveedores de servicios gestionados (MSP) son organizaciones que ofrecen múltiples servicios gestionados de tecnología de la información a otras empresas, como en el caso de los clientes de Kaseya. “Hoy en día, los MSP brindan en gran medida sus servicios de forma remota, a través de una red”, lo que facilita las actividades de los cibercriminales si las atacan.
“Este es un patrón que estamos comenzando a ver a medida que los atacantes cambian constantemente sus métodos para lograr el máximo impacto, ya sea para obtener recompensas financieras, robar credenciales de datos y otra información patentada que luego podrían aprovechar”, detalló el Director de Ingeniería de Sophos.
“En otros ataques a gran escala que hemos visto en la industria, como WannaCry, el propio ransomware fue el distribuidor; en esta ocasión, los MSP que utilizan una administración de TI ampliamente utilizada son el conducto”, agregó.
Sophos compartió que los MSP llevan tiempo siendo objetivo de ataques, sin embargo, aseguró que esta es la primera vez que se alcanza esta escala de víctimas al mismo tiempo. Por ello, considera que se trata de un cibercrimen cuidadosamente planeado y coordinado, llevado a cabo en el momento oportuno, aprovechando el Día de la Independencia de Estados Unidos, que se celebra el 4 de julio.
“A diferencia de muchos otros ataques, que son oportunistas, este fue un ataque dirigido y bien pensado. Los atacantes sabían lo que estaban haciendo y ejecutaron rápidamente”, dijo la compañía
Detrás del plan
Sophos apunta a que los cibercriminales detrás del caso Kaseya pudieron tener acceso a exploits, es decir, a aprovechar las vulnerabilidades de las aplicaciones, las redes, los sistemas operativos o el hardware, por mencionar algunos. Por lo general, los exploits toman la forma de un programa de software o una secuencia de código para hacerse del control de los equipos o robar datos de la red.
“Algunos atacantes de ransomware exitosos han recaudado millones de dólares en dinero de rescate, lo que potencialmente les permite comprar exploits de día cero de gran valor”, comentó Loman. “Un exploit para una vulnerabilidad en una plataforma global puede interrumpir muchas empresas a la vez y tener un impacto en nuestra vida diaria”, añadió.
El experto consideró que un día después del ataque, se hizo más evidente que REvil aprovechó un exploit de día cero que le permitió distribuir el ransomware a través del software Virtual Systems Administrator (VSA) de Kaseya que permite un acceso privilegiado ilimitado a los entornos de TI de muchas empresas.
Sophos destacó que el 37% de las empresas a nivel mundial se vieron afectadas por ransomware en el último año. De dichas compañías, el comercio minorista (44%) y las instituciones educativas (44%) son las más afectadas, seguidas por las firmas de servicios empresariales y profesionales (42%) y gobiernos (40%).
