Más de 5.000 intentos de ataque del ransomware REvil en lo que va de julio
- Actualidad
Tras el ciberincidente dirigido contra el proveedor de TI Kaseya, detectado el 2 de julio, los investigadores de Kaspersky informan de que se han producido más de 5.000 intentos de ataques por parte del grupo REvil, a quien se le debe la autoría.
|
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer |
A principios de este mes se hizo público el ataque sufrido por Kaseya, proveedor de TI que cuenta entre sus clientes con muchos proveedores de servicios gestionados en el mundo (MSPs), por parte del grupo de ciberdelincuentes especializado en ransomware, REvil.
Desde entonces, dado que muchas compañías utilizan su plataforma de gestión VSA a través de los MSPs, se han convertido en potenciales víctimas de este ransomware. Desde entonces, los investigadores de Kaspersky han detectado más de 5.000 intentos de ataques en 22 países de Europa, América del Norte y Sudamérica.
De entre los 22 países en los que se han detectado los ataques de REvil, Italia es el más afectado, con el 45,2% de los intentos de ataque registrados. Le siguen Estados Unidos, con el 25,91%; Colombia, con el 14,83%; Alemania, con el 3,21%; y México, con el 2,21%.
REvil, también conocido como Sodinokibi, es uno de los operadores de ransomware como servicio (RaaS) más prolíficos. Apareció por primera vez en el año 2019 y ha acaparado numerosos titulares en los últimos meses. En el ciberataque a Kaseya, que va a pasar a la historia por su alcance, los atacantes desplegaron una carga maliciosa a través de un script de PowerShell, que, a su vez, fue presumiblemente ejecutado a través del software del proveedor de MSP. Este script deshabilitó las funciones de protección de Microsoft Defender for Endpoint para, posteriormente, descifrar un ejecutable malicioso, que incluía un código binario legítimo de Microsoft, una versión antigua de la solución Microsoft Defender y una biblioteca maliciosa que contenía el ransomware REvil. “Utilizando esta combinación de componentes en el cargador, los atacantes pudieron explotar la técnica de carga lateral de DLL y atacar a numerosas empresas”, explica Kaspersky.
Kaspersky ofrece protección contra esta amenaza detectándola con los siguientes nombres: UDS:DangerousObject.Multi.Generic, Trojan-Ransom.Win32.Gen.gen, Trojan-Ransom.Win32.Sodin.gen, Trojan-Ransom.Win32.Convagent.gen y PDM: Trojan.Win32.Generic (with Behavior Detection).
