El número de víctimas en los principales ataques de ransomware aún no está claro

El número de víctimas en los principales ataques de ransomware aún no está claro

Un letrero que dice: “El supermercado Coop Forum en Vastberga está cerrado debido a fallas de TI, no hay pronóstico sobre cuándo abriremos nuevamente”, en una tienda de supermercado Coop cerrada en el suburbio de Vastberga, Estocolmo, Suecia, el sábado 3 de julio de 2021 Los equipos de ciberseguridad trabajaron febrilmente el domingo 4 de julio de 2021 para detener el impacto del mayor ataque global de ransomware registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable violaron la empresa cuyo software era el conducto. La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. Crédito: Jonas Ekstromer / TT vía AP, Archivo

La compañía cuyo software fue explotado en el mayor ataque de ransomware registrado dijo el martes que hasta ahora parece que menos de 1.500 empresas se vieron comprometidas. Pero los expertos en ciberseguridad sospechan que la estimación es baja y señalan que aún se está identificando a las víctimas.

Un par de ejemplos del impacto que ha tenido el ataque en los al menos 17 países afectados: el fin de semana que cerró la mayoría de los 800 supermercados de la cadena sueca Coop porque el malware paralizó sus cajas registradoras, y los informes de desconexión de más de 100 de Nueva Zelanda. jardines de infancia.

Kaseya, con sede en Miami, dijo que cree que solo alrededor de 800 a 1,500 de los 800,000 a 1,000,000 que se estima que son usuarios finales de su software, en su mayoría pequeñas empresas, se vieron afectados. Son clientes de empresas que utilizan el producto de administrador de sistemas virtuales de Kaseya, o VSA, para administrar completamente su infraestructura de TI.

La declaración fue ampliamente difundida después de que la Casa Blanca la compartiera con los medios de comunicación.

Sin embargo, los expertos en ciberseguridad dijeron que es demasiado pronto para que Kaseya sepa el verdadero impacto del ataque del viernes. Señalan que debido a que fue lanzado por la pandilla REvil vinculada a Rusia en la víspera del fin de semana festivo del 4 de julio en los EE. UU., Es posible que muchos objetivos solo lo descubran al regresar al trabajo el martes.

Los delincuentes de ransomware se infiltran en las redes y siembran malware que los paraliza al codificar todos sus datos. Las víctimas reciben una clave decodificadora cuando pagan. La mayoría de las víctimas de ransomware no denuncian públicamente los ataques ni revelan si han pagado rescates. En los EE. UU., Las leyes estatales exigen la divulgación de una infracción cuando se roban datos personales que pueden usarse en el robo de identidad. La ley federal lo exige cuando se exponen los registros de atención médica.

A diferencia de muchos ataques de ransomware, los delincuentes en este aparentemente no tuvieron tiempo de robar datos antes de bloquear las redes. Están exigiendo hasta $ 5 millones para las víctimas más grandes y $ 45,000 para las pequeñas.

Y en lo que muchos investigadores consideraron un truco de relaciones públicas, REvil ofrece en su sitio en la web oscura lanzar un decodificador de software universal para liberar a todas las víctimas a cambio de un pago global de 70 millones de dólares. No dijo a quién esperaba pagar. Los delincuentes afirman haber infectado un millón de sistemas.

El número de víctimas en los principales ataques de ransomware aún no está claro
En esta foto de archivo del 3 de julio de 2021, un letrero dice: “Cerrado temporalmente. Tenemos una falla de TI y nuestros sistemas no funcionan”, publicado en el escaparate de un supermercado Coop cerrado en Estocolmo, Suecia. Los equipos de ciberseguridad trabajaron febrilmente el domingo 4 de julio de 2021 para detener el impacto del mayor ataque de ransomware global registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable violó la compañía cuyo software era el conducto. La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. Crédito: Ali Lorestani / TT vía AP, Archivo

La mayoría de los más de 60 clientes de Kaseya que, según la portavoz de la compañía, Dana Liedholm, se vieron afectados son proveedores de servicios gestionados (MSP), con varios clientes en sentido descendente.

“Dada la relación entre Kaseya y los MSP, no está claro cómo Kaseya sabría el número de víctimas afectadas. Sin embargo, no hay forma de que los números sean tan bajos como afirma Kaseya”, dijo Jake Williams, director técnico de la firma de ciberseguridad BreachQuest. .

La herramienta VSA pirateada mantiene de forma remota las redes de los clientes, automatizando la seguridad y otras actualizaciones de software. Básicamente, un producto diseñado para proteger las redes del malware se utilizó inteligentemente para distribuirlo.

“Es demasiado pronto para decirlo, ya que todo este incidente aún está bajo investigación”, dijo la firma de ciberseguridad Sophos, que ha estado siguiendo de cerca el incidente. Tanto él como otros equipos de ciberseguridad cuestionaron si Kaseya tenía visibilidad de los proveedores de servicios administrados paralizados.

En una entrevista con The Associated Press el domingo, el director ejecutivo de Kaseya, Fred Voccola, estimó el número de víctimas en “miles”. La agencia de noticias alemana dpa informó el domingo temprano que una compañía alemana de servicios de TI no identificada dijo a las autoridades que varios miles de sus clientes estaban comprometidos. También entre las víctimas denunciadas se encontraban dos empresas holandesas de servicios de TI.

Una amplia gama de empresas y agencias públicas se vieron afectadas por el último ataque, aparentemente en todos los continentes, incluidos los servicios financieros, los viajes y el ocio y el sector público, aunque pocas grandes empresas, dijo Sophos.

Liedholm, la portavoz de Kaseya, dijo que la gran mayoría de los 37.000 clientes de la compañía no se vieron afectados y dijo que la compañía espera lanzar un parche el miércoles.

Los atacantes, antes conocidos por extorsionar $ 11 millones al gigante de procesamiento de carne JBS después de paralizar sus plantas de Australia y Nueva Zelanda el Día de los Caídos, irrumpieron en al menos un servidor Kaseya después de identificar una vulnerabilidad de “día cero”, dijeron investigadores de ciberseguridad.

El número de víctimas en los principales ataques de ransomware aún no está claro
En esta foto de archivo del 3 de julio de 2021, un letrero dice: “Cerrado temporalmente. Tenemos una falla de TI y nuestros sistemas no funcionan”, publicado en el escaparate de un supermercado Coop cerrado en Estocolmo, Suecia. Los equipos de ciberseguridad trabajaron febrilmente el domingo 4 de julio de 2021 para detener el impacto del mayor ataque de ransomware global registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable violó la compañía cuyo software era el conducto. La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. Crédito: Ali Lorestani / TT vía AP, Archivo

Los investigadores holandeses de vulnerabilidades dijeron que alertaron a Kaseya sobre una serie de “vulnerabilidades graves” antes del ataque.

“Creemos que han sido responsables en la forma en que respondieron a nuestra divulgación y de hecho los hemos visto reaccionar diligentemente”, dijo Frank Breedijk del Instituto Holandés de Divulgación de Vulnerabilidades. “Desafortunadamente, es demasiado tarde. La banda de malware nos ganó al final”.

Ni Breedijk ni Kaseya dirían cuándo los investigadores holandeses alertaron a la empresa sobre las vulnerabilidades explotadas.

El presidente Joe Biden dijo el sábado que ordenó una “inmersión profunda” de la inteligencia estadounidense en el ataque y que Estados Unidos respondería si determina que el Kremlin está involucrado. Moscú le da a REvil y otras bandas de ransomware un refugio seguro siempre que se abstengan de ataques domésticos. Biden le pidió a Vladimir Putin en Ginebra el mes pasado que pusiera fin a eso, pero no hay indicios de que el presidente ruso se haya movido para hacerlo.

Los analistas dicen que el caos que los criminales del ransomware han provocado en el último año, que afectan a hospitales, escuelas, gobiernos locales y otros objetivos a un ritmo de aproximadamente uno cada ocho minutos, va en contra de la agenda estratégica de Putin de desestabilizar a Occidente.

La empresa de ciberseguridad Mandiant lideró la respuesta a la crisis de Kaseya, coordinándose con la Agencia de Seguridad de Infraestructura y Ciberseguridad, dijo Kaseya.

El sábado, el FBI dijo en un comunicado que la escala del ataque “puede hacer que no podamos responder a cada víctima individualmente”. Al día siguiente, la Casa Blanca instó a todas las víctimas a notificar al FBI.

Los legisladores federales están trabajando en una legislación bipartidista para que la denuncia de ataques de ransomware sea obligatoria en el caso de infraestructura crítica, y los funcionarios del gobierno deciden si hacer públicos los detalles.


Similar Posts

Leave a Reply