Acción Humana Consulting Consulting GCC Tecnología

REvil acaba de realizar el ciberataque ransomware más grave de la historia

REvil

El grupo de piratería de ransomware REvil puso de cabeza a las redes de al menos 200 empresas estadounidenses este viernes pasado y ahora exige 70 millones de dólares en bitcoins a cambio de un descifrador para las máquinas infectadas. Lleva activo desde 2019 y es capaz de permanecer en los servidores de la víctima durante meses hasta que encuentra la información sensible que le interesa explotar.

El sábado, REvil se había dirigido al proveedor de software Kaseya y utilizó su paquete de administración de red para difundir el ransomware a través de la nube. Miles de organizaciones, en su mayoría empresas que administran de forma remota la infraestructura de TI de otros, se infectaron, más de 1 millón de máquinas según informes, en al menos 17 países.

Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware mundial más grande que se haya registrado, y surgieron algunos detalles sobre cómo los hackers responsables vinculados a Rusia violaron la compañía cuyo software era el conducto.

Las bandas sofisticadas de ransomware al nivel de REvil suelen examinar los registros financieros de la víctima y las pólizas de seguro, si pueden encontrarlas, de los archivos que roban antes de activar el malware de codificación de datos. Luego, los delincuentes amenazan con descargar los datos robados en línea a menos que se les pague. Sin embargo, no quedó claro de inmediato si este ataque involucró el robo de datos. El mecanismo de infección sugiere que no fue así.

“Robar datos normalmente requiere tiempo y esfuerzo del atacante, lo que probablemente no sea factible en un escenario de ataque como este, donde hay tantas organizaciones de víctimas pequeñas y medianas”, dijo Ross McKerchar, director de seguridad de la información de Sophos. “No hemos visto evidencia de robo de datos, pero aún es temprano y solo el tiempo dirá si los atacantes recurren a jugar esta carta en un esfuerzo por hacer que las víctimas paguen”.

Los virus de tipo ‘ransomware’, capaces de cifrar y robar información, se han convertido en uno de los negocios más lucrativos para el cibercrimen. Las ganancias que generan para aquellos grupos que los emplean cada vez son más grandes. Así lo demuestra el que, de acuerdo con un reciente informe de la firma Chainalasys, en 2020 se haya registrado un incremento en los rescates de más del 300% con respecto al año anterior. En concreto, los ciberdelincuentes consiguieron embolsarse más de 350 millones de euros, mientras que en 2019 esa cifra no alcanzó los 100 millones. Como muestra el siguiente gráfico, los ataques de ransomware no muestran signos de disminuir en 2021. En los primeros cinco meses del año, las víctimas ya transfirieron más de $ 80 millones a los ciberdelincuentes, casi igualando el total de todo el año 2019.

Infographic: Crypto Ransom Payments Skyrocketed in 2020 | Statista  Statista

En 2019, un ataque de ransomware que aprovechó los proveedores de servicios administradoslos delincuentes, obstaculizó las redes de 22 municipios de Texas a través de uno. Ese mismo año, 400 consultorios dentales estadounidenses quedaron paralizados en otro ataque.

En mayo de este año, REvil atacó Colonial Pipeline y logró que la compañía pagara un rescate de $ 5 millones después de que se restringieran su funcionalidad y servicios, lo que provocó una crisis de gas en los EE. UU.
JBS Holdings, la compañía cárnica más grande del mundo por ventas, también pagó un rescate de $ 11 millones en un ataque del 30 de mayo contra ella por el mismo grupo.

Los expertos apuntan que no fue una coincidencia que REvil lanzara el ataque al comienzo del fin de semana festivo del 4 de julio, sabiendo que las oficinas de EE. UU. contarían con menos personal. Es posible que muchas víctimas no se enteraran hasta que regresaran al trabajo el lunes además de que la gran mayoría de clientes finales de los proveedores de servicios administrados desconocen qué tipo de software utilizan para mantener sus redes funcionando.

El ataque actual a través del software Kaseya es algo especial, ya que se utiliza un exploit de día cero. Como puerta de enlace, utiliza un agujero de seguridad hasta ahora desconocido, contra el que todavía no hay una actualización protectora del fabricante.

La recomendación sigue siendo desconectar todas las instalaciones de Kaseya VSA. Kaseya ahora proporciona al menos herramientas que pueden usarse para examinar los servidores VSA y los puntos finales administrados por ellos en busca de signos de infección.

El presidente Joe Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado. Dijo que había pedido a la comunidad de inteligencia una “inmersión profunda” sobre lo sucedido, y que tomaría medidas si Rusia estaba detrás de él.

El FBI dijo en un comunicado el domingo que estaba investigando el ataque junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad federal, aunque “la escala de este incidente puede hacer que no podamos responder a cada víctima individualmente”.

Tanto los exploits de día cero como los ataques a través de la cadena de suministro se encuentran entre las técnicas de ataque avanzadas que suelen utilizar los atacantes controlados por el estado, pero REvil podría ser más crimen organizado que actividad de inteligencia.

Su empresa o actividades podrían estar en peligro. Contáctenos y podremos programar una sesión gratuita online por 50 minutos y evaluar la mejor opción para la seguridad de su mayor activo empresarial: sus datos. Nuestros hackers éticos están para ayudarlo. Escríbanos a info@goethalsconsulting.com o llámenos al 302-2862/ 6229-2530.

About the author

Ainara Gomez

Investigadora, Consultora Junior en Goethals, Entusiasta de nuevas tecnologías que contribuyan al bienestar de las personas.

Máster en Relaciones Internacionales Iberoamericanas
Universidad Rey Juan Carlos I (Madrid, España)
Máster en Economía Internacional y Desarrollo
Universidad Complutense de Madrid (Madrid, España)
Programa de intercambio Erasmus en Université d’Auvergne (Clermont-Ferrand, Francia)
Licenciatura en Administración y Dirección de Empresas
Universidad Pública de Navarra (Pamplona, España)
Programa de intercambio Sicue-Séneca en Universidad Rey Juan Carlos I (Madrid, España)

1 Comment

Click here to post a comment

Ticker

1 BTC = $70515.17 USD  (via Coinbase)
1 ETH = $3570.82 USD  (via Coinbase)
1 LTC = $95.24 USD  (via Coinbase)
Quotes delayed up to 2 minutes.

Indicadores Financieros

Estadísticas de Panamá

Conectate

Conéctate con nosotros a través de nuestras redes sociales oficiales, donde encontrarás las últimas noticias y más...

error: Content is protected !!