Este fin de semana un ataque con ransomware a una empresa de TI estadounidense afectó a cientos de compañías alrededor del mundo. De acuerdo con diversas fuentes los cibercriminales tuvieron acceso a una herramienta de Kaseya, aprovechando el 4 de julio, que cifró los archivos y los secuestró.
El Político
Kaseya es una empresa que vende sus productos a proveedores de servicios gestionados. Es decir, es la empresa que ofrece las herramientas de software par que otras empresas ofrezcan servicios y soporte IT a otras muchas empresas.
“En otros ataques a gran escala que hemos visto en la industria, como WannaCry, el propio ransomware fue el distribuidor; en este caso, los MSP que utilizan una administración de TI ampliamente utilizada son el conducto”, indicó Mark Loman, director de Ingeniería de Sophos a Expansión.
Ransomware atacó a Kaseya
Un ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
En el caso de este ataque, los criminales presuntamente tuvieron acceso a una herramienta de Kaseya, llamada VSA, utilizada por organizaciones para la administración de tecnología a empresas más pequeñas. Una vez dentro, cifraron los archivos de los clientes de estos proveedores, secuestrándolos bajo tal esquema.
Al respecto, Kaseya dijo en su propio sitio web que está investigando un ataque potencial en VSA y cerró su infraestructura.
Evidencia de Kaseya
“Nuestra evidencia muestra que más de 70 proveedores de servicios administrados se vieron afectados, lo que resultó en más de 350 organizaciones afectadas”, indicó Ross McKerchar, vicepresidente y director de Seguridad de la Información de Sophos, “las víctimas abarcan una variedad de ubicaciones en todo el mundo, la mayoría en Estados Unidos, Alemania y Canadá, y otras en Australia, Reino Unido y otras regiones”.
La primera consecuencia directa del ataque fue que una gran cadena de supermercados de Suecia debió cerrar más de 800 tiendas luego de que sus cajas quedaran paralizadas. Ante esto, el presidente de Estados Unidos, Joe Biden, ordenó investigar el caso.
Por su parte, la Casa Blanca ya dijo que que el Buró Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional se están acercando a las empresas afectadas “para brindar asistencia basada en una evaluación del riesgo nacional”.
Un día antes, Biden, ordenó a las agencias de inteligencia de su país que investigaran quién está detrás de este sofisticado ataque de ransomware.
Atacantes de ransomware exitosos
“Algunos atacantes de ransomware exitosos han recaudado millones de dólares en dinero de rescate; lo que potencialmente les permite comprar exploits de día cero de gran valor. Ciertas hazañas generalmente solo se consideran alcanzables por los estados-nación. Donde los ‘estados-nación’ los usarían con moderación para un ataque aislado específico, en manos de los ciberdelincuentes, un exploit para una vulnerabilidad en una plataforma global puede interrumpir muchas empresas a la vez y tener un impacto en nuestra vida diaria”, precisó Loman.
Con este ciberataque se refuerza la necesidad de una política de seguridad digital, misma que Biden ha impulsado a través de su modelo Zero Trust.
Este esquema es un modelo de seguridad que se basa en la verificación continua a través de información de múltiples fuentes. Al hacerlo, este enfoque asume la inevitabilidad de una violación de datos.
En lugar de centrarse exclusivamente en prevenir infracciones, la seguridad de confianza cero garantiza; en cambio, que el daño sea limitado y que el sistema sea resistente y pueda recuperarse rápidamente.
