Al día

ESET concluye que el ataque del ransomware REvil a usuarios de Kaseya vuelve a demostrar el peligro de los ataques de cadena de suministro

El pasado 2 de julio, un ataque masivo del ransomware REvil afectó a compañías en países de todo el mundo, incluida España. La amenaza fue dirigida a Kaseya, una empresa de gestión de software TI que cuenta con más de 40 000 clientes a nivel global, y ha sido detectada -y continúa bajo investigación- por diferentes empresas de ciberseguridad.

Según ESET, compañía pionera en protección antivirus y una de las empresas de ciberseguridad que ha detectado el ataque y lo sigue investigando, este caso se trata de uno de los incidentes de ciberseguridad más destacados de lo que llevamos de año, ya que los ciberdelincuentes consiguieron infectar con el ransomware REvil miles de equipos usando lo que se conoce como ‘ataque de cadena de suministro’, uno de los tipos de ataques más peligrosos para las empresas. Así lo explica Josep Albors, Director de Investigación y Concienciación de ESET España: “Los ataques de cadena de suministro suponen un serio problema para corporaciones y organizaciones, ya que se tiende a confiar ciegamente en todo lo que provenga de empresas encargadas de proporcionar software y servicios de todo tipo”.

Las últimas estimaciones de Kaseya sobre el número de compañías afectadas por este ciberataque apunta a alrededor de 1500 empresas. La telemetría de ESET detectó intentos de cifrado realizados por REvil en varios países de América, Europa, Asia, África y Oceanía, con algunos casos de empresas españolas entre ellos.

 

En lo que respecta a la solicitud del rescate, ESET declara que los responsables del ciberataque han ido modificando la cifra. Inicialmente, los atacantes demandaban cifras que oscilaban entre los 45 000 dólares y los 5 millones de dólares dependiendo del tipo de empresa afectada. Sin embargo, conforme pasó el tiempo desde el primer día del ataque, los ciberdelincuentes han ido ofreciendo otras posibilidades como pagar 70 millones de dólares (posteriormente rebajado a 50 millones) por un descifrador que funcionase en todos los sistemas afectados. Conforme declara Josep Albors, “la reducción del rescate podría deberse a que los atacantes quieran obtener el dinero lo antes posible y ofrecer el descifrado para no seguir llamando la atención de algunas autoridades como las de los EE. UU.”.

Es cierto que durante los últimos días se ha estado hablando mucho sobre la motivación de este ciberataque y quién podría estar detrás. A pesar de que siempre se intenta establecer la conexión con los intereses geopolíticos de varias potencias, al no haberse producido el robo de información de las empresas atacadas y estar negociándose unas rebajas importantes en el descifrado de los equipos afectados, según ESET España todo apunta a que la motivación sería puramente económica.

No sería la primera vez en la que se ve como un grupo de delincuentes realiza un ataque de estas características afectando a objetivos importantes a los que los desarrolladores del malware no tenían inicialmente entre su lista de objetivos. En los ataques con motivación económica esto puede ser un problema, ya que puede provocar una reacción de las autoridades que incluso termine con el bloqueo del dinero de los rescates o la persecución de los delincuentes involucrados.

Josep Albors, Director de Investigación y Concienciación de ESET España, ha concluido: “Casos como los ataques del ransomware REvil a usuarios de Kaseya suponen un serio problema para empresas de todos los tamaños, ya que no suelen revisar aquello que provenga de fuentes de confianza, menos aun si se trata de un software de gestión IT como Kaseya. Sin embargo, estos incidentes pueden servir para hacernos reflexionar acerca de las medidas de seguridad que tenemos adoptadas actualmente en nuestras organizaciones y ver cómo podemos mejorarlas aplicando diferentes tipos de soluciones y modelos de seguridad”.

Además, para explicar cómo se ha dado uno de los incidentes de ciberseguridad más destacados de lo que llevamos de año, Josep Albors ha escrito un post para el Blog de ESET España. En el artículo, el responsable de Investigación y Concienciación de la empresa ha relatado cómo se iniciaron los ataques y su impacto, así como los motivos que tienen los ciberdelincuentes para realizarlos. Josep Albors también hace un repaso sobre el problema de los ataques de cadena de suministro en la publicación.