¿Qué se sabe del ciberataque a la estadounidense Kaseya?

Numerosas empresas en el mundo son víctimas de un ciberataque extorsivo a través de un fallo de seguridad en un software de gestión muy utilizado de la empresa estadounidense Kaseya. A continuación, algunos datos de este ataque reivindicado por el grupo de hackers REvil.

¿Qué es Kaseya, punto de acceso del ataque?

Con sede en Miami, Kaseya vende herramientas informáticas a empresas, entre ellos el programa «VSA», destinado a gestionar redes de servidores, ordenadores e impresoras desde una sola fuente.

Asegura tener 40,000 clientes en más de 20 países y en sectores tan distintos como la industria manufacturera, la sanidad, la educación, los medios o las finanzas.

Enfocada en empresas de medio tamaño, Kaseya propone a sus clientes controlar, gestionar y proteger de forma centralizada todo su sistema informático.

«Nuestra misión es simplificaros la gestión informática», asegura en su web.

¿Cuántas empresas afectadas?

El alcance de los daños todavía se desconoce, pero el número de víctimas puede ser importante.

Según la firma de ciberseguridad Eset, el ataque afectó empresas de al menos 17 países. Otra empresa de ciberseguridad, Huntress Labs, estimó el sábado que más de mil empresas sufrieron el ataque.

El grupo que perpetró el pirateo, REvil, reivindica haber comprometido un millón de puestos informáticos en un reclamo publicado en un blog y atruibuido a ese colectivo.

«Estamos ante un fenómeno sistémico al que todos tememos», indicó a la AFP Loic Guezo, secretario general de Clusif, una asociación de expertos franceses de ciberseguridad.

«Constatamos, por ejemplo, que el ataque llegó a una cadena de supermercados en Suecia (Coop Suède, ndlr), muy lejos del punto de intrusión inicial» de los piratas, la sociedad Kaseya.

La mayor parte de las 800 tiendas de Coop Suède seguían cerradas este lunes por el ciberataque, según esta cadena de gran distribución.

¿Qué es un «ransomware»?

El ataque de programa chantajista o «ransomware» (contracción de las palabras rescate y programa en inglés) es una especie de secuestro digital: un programa maligno se introduce furtivamente en un sistema informático para encriptar todos sus datos y ficheros.

Si quiere obtener la clave para desencriptarlo, el propietario debe pagar un rescate que normalmente se hace en bitcoins, una criptomoneda que permite a los piratas seguir ilocalizables y anónimos.

Estados Unidos ha sido blanco de espectaculares ataques de este tipo contra grandes empresas como el gigante carníco JBS, el gestor de oleoductos Colonial Pipeline o también contra hospitales.

Al menos 18,000 millones de dólares fueron pagados en rescates a piratas informáticos en 2020, según la empresa de seguridad Emsisoft.

Numerosos expertos sospechan que estos hackers chantajistas se encuentran en Rusia y cuentan con cierta protección del gobierno, que niega toda implicación.

La cuestión adquiere tal magnitud que fue uno de los puntos abordados por el presidente estadounidense Joe Biden durante la cumbre con su homólogo ruso Vladimir Putin a mediados de junio.

¿Qué es el grupo REvil?

El ataque se atribuyó a un grupo de piratas de habla rusa conocidos con el nombre de REvil o Sodinokibi.

Un informe reciente de IBM Security X-Force consideraba Sodinokibi como el grupo de cibercriminales más temido en materia de «ransomware», siendo responsable de un 29% de este tipo de ataques en 2020.

Los autores de este informe estiman que los piratas de REvil obtuvieron 123 millones de dólares de beneficios en 2020.

REvil crea programas informáticos que permiten atacar a empresas y a individuos y los comparte con sus afiliados, que lanzan ellos mismos el programa y reparten después el rescate.

En 2021, la autoridad de la seguridad informática francesa (Anssi) explicó que el programa de Sodinokibi estaba disponible en foros criminales rusófonos para atacantes de élite.

«Sodinokibi decidió limitar significativamente el número de afiliados, imponer un nivel de actividad elevado y prohibir todo afiliado anglófono», explicó este organismo.

CON INFORMACIÓN VÍA EL ECONOMISTA

FBI destaca «amplitud» de ciberataque en Estados Unidos

La policía federal de Estados Unidos (FBI) destacó el domingo (04.07.2021) que la «amplitud» del ciberataque en marcha desde el viernes contra la empresa Kaseya, que afecta a sus clientes, podría impedirle responder a todas las víctimas de forma individual.

Piratas informáticos atacaron el viernes a Kaseya, para exigir un rescate potencialmente a más de 1.000 empresas a través del software de gestión que ofrece esa firma estadounidense.

«Si cree que sus sistemas se han visto comprometidos, lo alentamos a que utilice todas las medidas recomendadas y siga el consejo de Kaseya de apagar inmediatamente los servidores (que alojan el software afectado) e informar al FBI», dijo el FBI en un mensaje.

«Aunque la escala de este incidente puede impedirnos responder a cada víctima de forma individual, toda la información que recibamos será útil para contrarrestar esta amenaza», subrayó.

El FBI abrió una investigación y trabaja con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y otras agencias «para comprender la escala de la amenaza».

Ataque paraliza sistemas informáticos

Es difícil estimar el alcance de este ataque de «ransomware», un tipo de programa informático que paraliza los sistemas informáticos para luego exigir un rescate para desbloquearlos.

Según Kaseya, menos de 40 clientes se vieron afectados. Pero algunos de ellos tienen a su vez clientes y el ataque puede haberse extendido a cientos o incluso miles de ellos.

Con sede en Miami, Kaseya, que afirma contar con más de 40.000 clientes, ofrece herramientas informáticas a las empresas, incluyendo el software VSA para administrar la red de servidores, computadoras e impresoras desde una sola fuente.

Víctimas en 17 países

En un nuevo mensaje el domingo, la compañía dijo que estaba trabajando las 24 horas, «en todas las geografías», para resolver el problema y restaurar el servicio a sus clientes que utilizan el software afectado de forma remota «en un plazo de 24 a 48 horas».

La firma de seguridad informática ESET Research identificó el sábado víctimas del ciberataque en 17 países. Como consecuencia directa del ciberataque, una cadena de supermercados sueca debió cerrar el sábado 800 tiendas luego que sus cajas quedaran paralizadas.

El presidente de Estados Unidos, Joe Biden, dijo la noche del sábado que había ordenado una investigación, en particular para determinar si el ataque procedía o no de Rusia. «Todavía no estamos seguros», dijo.

CON INFORMACIÓN VÍA Deutsche Welle