REvil está de regreso para el mayor ataque de ransomware en lo que va de 2021: afectó a más de un millón de sistemas de 1.000 compañías de 17 países, incluida Argentina, tras lograr insertarse en una actualización del software de gestión de Kaseya, que ofrece servicios de IT de manera remota.
Basada en Miami, Kaseya es un proveedor de servicios administrados (MSP, por sus siglas en inglés). Sus sistemas están conectados a los de otras compañías, por lo que una actualización corrupta logró desplegarse directamente en la red de empresas.
El ataque sobre los servidores de Kseya ocurrió el viernes 2 de julio al aprovechar una vulnerabilidad zero-day que acaba de ser reparada. Las víctimas del ransomware REvil están situadas en Reino Unido, Sudáfrica, Canadá, Alemania, EEUU, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía, apuntaron desde ESET.
Kaseya, que cuenta con unos 40.000 clientes, reconoció el incidente y pidió a los potencialmente afectados cerrar posibles servidores VSA de manera inmediata hasta tanto se publique el parche. Sin embargo, para muchas empresas ya había sido tarde dado que ya habían sido afectadas por el ransomware que cifró su información.
Según reportes del 3 de julio, son cerca de 1.000 las compañías afectadas en este ataque de cadena de suministro y están trabajando con la mayor rapidez posible para contener el ataque y notificar a los equipos de TI.
El pago solicitado a cada víctima varía de caso en caso, dependiendo del tamaño de la empresa afectada. En las últimas horas, el grupo REvil publicó en su sitio de la dark web que ofrece a las víctimas de Kaseya un descifrador para que puedan recuperar los archivos del cifrado a cambio de u$s70 millones.
Desde BleepingComputer explicaron que, a diferencia de otros casos similares, REvil solo cifró los archivos de las víctimas y no robó información, lo que sugiere que no lograron acceder a la red de la víctima una vez que lograron vulnerarla.
El incidente es investigado por la Agencia Nacional de Ciberseguridad de EEUU y el FBI, que publicaron una guía para los proveedores de servicios administrados afectados por este ataque así como para sus clientes, que incluye, entre otros puntos, descargar la herramienta de detección de Kaseya VSA, la cual analiza un sistema e indica si se detecta la presencia de algún Indicador de compromiso.