esto es todo lo que sabemos hasta ahora

La noticia salió a la luz este mismo fin de semana, el 2 de julio. Kaseya, una empresa de software especializada en soluciones y productos para empresas que necesitan servicios de TI remotos, sufrió un ciberataque de ransomware. Dado que Kaseya está conectado con otras empresas (a las que ofrece su servicio), se cree que se podrían haber alcanzado entre 800 y 1.500 empresas y que alrededor de 60 se han visto afectados directamente.

Dado el alcance de Kaseya y sus servicios, se cree que es uno de los ataques de ransomware más grandes jamás registrados. A continuación repasamos todo lo que se sabe hasta el momento y todo lo que la compañía ha confirmado.

Cronología del ataque a Kaseya

Todo comienza el viernes 2 de julio a las 10:00 pm hora española. Kaseya publica un aviso en su sitio web en el que afirman estar investigando un «ataque potencial contra [servicio] VSA lo que indica que se ha limitado a un pequeño número de nuestros clientes locales únicamente. «Apagaron los servidores SaaS y notificaron a los clientes del problema para apagar los servidores VSA. Un VSA, en términos generales, es un software de administración de TI.

Poco después, la empresa confirmó que había desplegado el equipo interno de respuesta a incidentes y contrató a «los principales expertos de la industria en investigaciones forenses» para determinar la fuente del problema. También notificaron a las agencias relevantes, incluido el FBI y CISA.

Eran las 4:00, hora española. En ese momento, Kaseya afirmó que los primeros indicadores sugerían que solo un número muy pequeño de clientes locales se había visto afectado. Estimaron que unos 40, que no son pocos aunque son muchos menos que los más de 36.000 clientes que tiene Kaseya en su haber. «Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales que será probado a fondo», dijo la empresa.

Y llegó el momento. 3 de julio, 16:30 hora local española. Kaseya afirma haber sido víctima de un «ciberataque sofisticado». Aunque continuaron enfatizando que solo unos pocos clientes locales se habían visto afectados, la empresa seguía recomendando que los servidores VSA se mantuvieran inactivos Y, de paso, advirtieron a los clientes que habían recibido una comunicación de los atacantes que no hicieran clic en ningún enlace.

Vsa

VSA.

Más tarde, alrededor de las 3:00 de la tarde del 4 de julio en España, Kaseya confirmó que estaba desarrollando una herramienta de detección (que luego sería implementada y solicitada por 900 clientes). El departamento de I + D Replicó el vector de ataque y comenzó a corregir el código., algo que, dijeron, tardaría entre 24 y 48 horas. El 4 de julio, Fred Voccola, CEO de la compañía, fue entrevistado en Good Morning America y, en pocas palabras, dijo: «Estamos seguros de que sabemos cómo sucedió y lo estamos solucionando».

Al día siguiente, 5 de julio, a las 2:00 hora peninsular española, el comité ejecutivo de la empresa se reunió para abordar el problema y determinar soluciones. Esta es la última información oficial que tenemos de la empresa:

«Hasta la fecha, tenemos conocimiento de menos de 60 clientes de Kaseya, todos los cuales usaban el producto VSA local, que se vieron directamente comprometidos por este ataque. Si bien muchos de estos clientes brindan servicios de TI a muchas otras empresas, entendemos que el total el impacto hasta ahora ha sido en menos de 1.500 empresas posteriores «.

Aseguran que VSA ha sido el único producto afectado, que el parche para clientes se ha desarrollado y está en proceso de validación y que la estimación actual para volver a poner los servidores SaaS en línea es para el 6 de julio (hoy), aunque la fecha aún no está clara. Hasta ahora, más de 2000 clientes han descargado la herramienta de detección que mencionamos anteriormente.

¿Y quién está detrás?

Hackers

Esto es todo lo que la compañía ha revelado hasta ahora, pero hay más. Según ESET, el ataque se llevó a cabo aprovechando una vulnerabilidad de día cero (CVE-2021-30116) que estaba siendo reparada. Entre las entidades afectadas se encuentran una cadena de supermercados en Suecia y al menos 11 escuelas en Nueva Zelanda. Según ESET, hay clientes afectados en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Países Bajos, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.

Cuando una empresa sufre un ataque de ransomware, me llaman para solucionarlo: la difícil lucha contra el malware del momento

El caso es que Kaseya no ha mencionado quién está detrás del ataque, pero algunos piratas informáticos se han atribuido la responsabilidad y están pidiendo un $ 70 millones de rescate de Bitcoin. La historia probablemente sea familiar, porque fue lo mismo que le sucedió a Acer en marzo. ¿Quiénes son estos hackers? Mal, que también atacó a Adif en 2020.

En una publicación en su blog oficial, REvil afirma haber bloqueado más de un millón de sistemas y las redes de al menos 1,000 empresas en todo el mundo. Como se explica en Bleeping Computer, REvil ha utilizado diferentes extensiones para cifrar archivos y solicite hasta $ 44,999 para desbloquear archivos encriptados con cada extensión. Para desbloquear varias extensiones han llegado a pedir 500.000 dólares.

Rescate

Rescate solicitado por REvil.

Un representante de los hackers ha dicho a Reuters que «siempre estamos dispuestos a negociar», pero Voccola, CEO de la empresa, ha dicho que «no puedo comentar ‘sí’, ‘no’ o ‘tal vez'» y eso «.sin comentarios sobre nada que tenga que ver con el trato con terroristas de ninguna manera«.

CISA y el FBI, por su parte, han compartido una guía para las víctimas del atentado, aunque reconocen que «por la potencial escala de este incidente, es posible que el FBI y CISA no puede responder a cada víctima individualmente, pero toda la información que recibamos será útil para contrarrestar esta amenaza. “Por el momento el problema persiste y será necesario cómo termina.

Leave a Reply