Los autores del ataque a Kaseya piden rescates que alcanzan los 5 millones de dólares

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

El pasado domingo publicamos que un ataque de ransomware contra el proveedor de TI Kaseya había afectado a más de mil empresas en el mundo. Según el proveedor de TI, que cuenta con 40.000 clientes en el mundo, fue consciente del hackeo el pasado viernes, y solo ha impactado en un “número muy reducido de clientes”, pero el problema reside en que estos prestan servicios a otras empresas, por lo que su alcance es mayor.

Ahora, como explica Eset en su blog, después de los ataques a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio, que involucraron la explotación de una vulnerabilidad zero-day que estaba en proceso de ser reparada, se detectaron víctimas del ransomware REvil relacionadas con este ataque en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.

Además, de acuerdo sus datos,  el grupo REvil, autor del ataque, ha publicado en su sitio de la Dark web, que utiliza para divulgar información sobre sus víctimas, que más un millón de sistemas fueron comprometidos y que ofrecen un descifrador para todas las víctimas del ataque de Kaseya por 70 millones de dólares. El pago solicitado a cada víctima de este ataque es distinto para cada caso, llegando a 5 millones de dólares la cantidad más elevada que algunos investigadores aseguran haber visto.

Sophos, a través de su VP y director de Seguridad de la Información, Ross McKerchar, confirma que se trata de un ataque de grandes dimensiones. “Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significan más de 350 organizaciones más afectadas. Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones", explica.

Ataques como este, que comprometen a proveedores de servicios externos, provocan un elevado impacto. Como señala Ben Carr, CISO de Qualys, “los MSP son un objetivo de gran valor. Si un MSP gestiona la seguridad de una compañía, una vez se externaliza este servicio la empresa real puede ser menos consciente de lo que está sucediendo. Y, como un MSP dispone de ingentes cantidades de datos de múltiples clientes, muchos de ellos de misión crítica, la solicitud de pago de rescate es muy alta (5 millones de dólares), como sucede en este caso”.

Para este experto, los ataques a la cadena de suministro deben ser una prioridad para todas las empresas, incluidas las que utilizan MSPs. “Es esencial hacer siempre el proceso oportuno de analizar quién aloja y administra los datos. Si bien se puede subcontratar o externalizar esta tarea, no es posible externalizar el riesgo: casi todo el mundo es susceptible de un ataque de este tipo”.

 Aún así, insta a las empresas a asegurarse de tener los protocolos adecuados y evaluaciones de riesgo de terceros sólidas para que se pueda responder de manera eficiente antes de que sucedan estos ataques. De esta forma, si se da la circunstancia de un ataque, “existen opciones de redundancias listas para implementarse y es posible por tanto cambiar a una solución alternativa con un impacto mínimo para el negocio”, concluye Carr.