Los investigadores señalan que los piratas informáticos piden a las pequeñas empresas 50.000 dólares y cinco millones a las grandes
Un ataque cibernético paralizó este pasado viernes las redes de al menos 200 compañías estadounidenses, al conseguir infiltrarse en la empresa de tecnología Kaseya, que proporciona servicios de administración de redes. Los piratas informáticos se habrían infiltrado en sus sistemas para utilizarlos como conducto para propagar el software malicioso. John Hammond, principal investigador de la compañía de seguridad Huntress Labs, consideró que “este es un ataque colosal y devastador”, según un mensaje publicado en Twitter.
Kaseya, con base en Florida, brinda servicios a más de 40.000 organizaciones en todo el mundo, e instó a los clientes que usan su plataforma de administración de sistemas, llamada VSA, a apagar inmediatamente sus servidores para evitar la posibilidad de ser comprometidos por los piratas informáticos. “Estamos experimentando un ataque potencial contra el VSA, que se ha limitado a una pequeña cantidad de clientes locales solamente”, publicó la empresa en su sitio web, refiriéndose a las organizaciones que mantienen su software en sus propias empresas en lugar de alojarlo con un proveedor de nube. “Estamos en el proceso de investigar la raíz del incidente con la máxima vigilancia”.
El asalto cibernético se produjo el viernes, cuando muchas empresas comenzaban a cerrar debido al largo fin de semana que vive Estados Unidos, con motivo de la celebración del 4 de julio, día de la Independencia. Se trata de un ataque ramsomware, con el que los piratas exigen un rescate económico para devolver a los afectados el acceso a sus sistemas. Para Hammond, al menos ocho empresas que brindan seguridad o herramientas tecnológicas para cientos de otras pequeñas empresas podrían haber sido ”comprometidas” por el ataque de Kaseya. Otras 200 podrían estar en peligro y se les habría pedido recompensas de entre 50.000 dólares -a las pequeñas empresas- y cinco millones a las de gran tamaño.
El FBI tiene en el punto de mira a REvil, es el mismo grupo de ciberdelincuentes rusos que en mayo pasado fue responsable de asaltar JBS, el procesador de carne más grande del mundo. Este tipo de ciberataques a cadenas de suministro, se infiltran generalmente en softwares muy utilizados para propagar códigos maliciosos, a medida que se actualizan automáticamente. Kaseya instó a sus clientes en un comunicado publicado en su sitio web a que apagaran inmediatamente los servidores que ejecutan el software afectado. La compañía quiso rebajar la amplitud del asalto cibernético y señaló que el ataque se limitó a un “pequeño número” de sus clientes. Pero de momento no está claro cuántos clientes de Kaseya se podrían ver afectados o quiénes podrían ser. En Suecia, una cadena de supermercados informó este sábado de que cerraba temporalmente casi todas sus 800 tiendas porque sus cajas estaban paralizadas. Una filial sueca del grupo de informático Visma indicó que el problema estaba vinculado al ciberataque a Kaseya, informa AFP.
“Kaseya maneja empresas grandes y pequeñas a nivel mundial, por lo que, en última instancia, tiene el potencial de extenderse a empresas de cualquier tamaño o escala”, dijo el investigador de Huntress Labs. “Este es un ataque brutal para la cadena de suministro”, subrayó. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos confirmó que la agresión era un “ataque de ransomware en la cadena de suministro”.
Los profesionales de la ciberseguridad viven en alerta constante ante los cibersecuestros y los ataques contra las cadenas de suministros. Según analistas, citados por medios norteamericanos, en el pasado se han visto ataques brutales de este tipo, pero este asalto tiene el potencial de ser el mayor incidente de cibersecuestro hasta la fecha.
El pasado mes de mayo, la compañía Colonial, uno de los mayores oleoductos que operan en Estados Unidos, se vio obligada a suspender sus actividades tras haber sufrido un ciberataque. Entonces, el FBI confirmó que detrás del acto criminal estaba DarkSide, que operaba desde suelo ruso. El parón de la actividad de Colonial, con los 8.850 kilómetros de oleoductos que gestiona entre Texas y Nueva York, eran vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, ya que cada día transporta el equivalente a 2,5 millones de barriles de gasolina, diésel y combustible de aviación, lo que representa el 45% del suministro de toda la costa este.
Brett Callow, experto en ransomware, declaró a la agencia de noticias Associated Press, que él no conocía ningún “ataque tercerizado” (no bilateral, sino que implica a una compañía que afecta a otras muchas) con ransomware a esta escala. “Ha habido otros pero de menor envergadura”. Para el analista, lo sucedido el viernes con Kaseya está a la altura de lo que sufrió la firma texana SolarWinds. En la primavera de 2020, los piratas informáticos penetraron en las entrañas de los rincones más protegidos del Gobierno de EE UU, como el Departamento del Tesoro. Los funcionarios de inteligencia y expertos en seguridad e investigación informática forense señalaron a Rusia y a sus destacadas unidades de ciberespionaje como responsable de la espectacular violación informática. Además, todo fue descubierto, tres meses después de que el presidente ruso, Vladímir Putin, propusiese a Washington una tregua para evitar incidentes en el ciberespacio.