Un ciberataque paralizó las redes de por
lo menos 200 compañías estadunidenses, de acuerdo con un investigador
de ciberseguridad cuya
compañía estaba respondiendo al incidente.
REvil, un grupo de hackers de habla rusa que
ha perpetrado extorsiones con ransomware, parece haber estado
detrás del ataque del viernes, dijo John Hammond, de la empresa de
seguridad Huntress Labs.
Comentó que los delincuentes atacaron a un proveedor de
software llamado Kaseya, utilizando su paquete de administración de redes como
conducto para propagar el software malicioso a través de los proveedores de
servicios en la nube. Otros investigadores estuvieron de acuerdo con la
valoración de Hammond.
Kaseya maneja desde grandes compañías hasta pequeñas
empresas a nivel internacional, así que, en última instancia, esto tiene el
potencial de extenderse a cualquier tamaño o escala de negocio”, señaló Hammond
en un mensaje directo enviado por Twitter.
Este es un ataque tercerizado colosal y devastador”, añadió.
Ese tipo de ciberataques tercerizados (o de cadena de
suministro) generalmente se infiltran en softwares utilizados ampliamente y
propagan códigos maliciosos, o malware, a medida que se actualizan
automáticamente.
De momento no estaba claro cuántos clientes de Kaseya se
podrían ver afectados o quiénes podrían ser.
Kaseya instó a sus clientes en un comunicado publicado en su sitio
web a apagar inmediatamente los servidores que ejecutaran el
software afectado. Señaló que el ataque se limitó a un “pequeño número” de sus
clientes.
Brett Callow, un experto en ransomware de la empresa de
ciberseguridad Emsisoft, dijo que no estaba al tanto de ningún ataque
tercerizado previo con ransomware a esta escala. Ha habido otros, pero de menor
envergadura, comentó.
Esto es como lo de SolarWinds con ransomware”, señaló.
Se refirió a una campaña de ciberespionaje rusa descubierta
en diciembre que se propagó al infectar el software de administración de redes
para infiltrarse en agencias federales de Estados Unidos y decenas de empresas.
El investigador de ciberseguridad Jake Williams, presidente
de Rendition Infosec, dijo que ya estaba trabajando con seis compañías
afectadas por el ransomware.
No es casualidad que esto haya ocurrido antes del fin de
semana del feriado del 4 de julio, cuando el personal de informática suele ser
escaso, añadió.
No tengo ninguna duda de que el momento fue intencional”,
dijo.
