PIRATAS INFORMÁTICOS

Empresas en todo el mundo seguían afectadas ayer lunes por un ciberataque masivo a la compañía informática estadounidense Kaseya desde el viernes, y por el que los piratas informáticos exigen un rescate de varios millones de dólares.

Los piratas informáticos lanzaron un ataque el viernes contra Kaseya, al aprovechar una falla en su software de administración, utilizado por muchos de sus clientes.

La firma de ciberseguridad Huntress Labs dijo el sábado que el software pirateado “se ha utilizado para cifrar más de 1.000 empresas” a las que los piratas informáticos exigen el pago de un rescate.

El FBI abrió una investigación y está trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y otras agencias “para comprender la magnitud de la amenaza”, pero el ataque parece ser de tal envergadura que puede ser imposible responder a todas las víctimas individualmente, advirtió.

Según varios expertos, el ataque fue llevado a cabo por un afiliado del grupo de hackers de habla rusa conocido como REvil.

En un reclamo publicado en el blog “Happy Blog”, asociado con REvil, el presunto autor del ataque pide el pago de un rescate de 70 millones de dólares en bitcoins.

El presidente de Estados Unidos,Joe Biden, dijo el sábado que había ordenado una investigación. “No estamos seguros”, dijo sobre si el ataque procedía de Rusia.

Biden apuntó que durante la reunión que sostuvo en junio pasado con su homólogo ruso, Vladimir Putin, le anticipó que si Estados Unidos considera que el Gobierno de Rusia es responsable de acciones como esta, responderá.

Basada en Miami, Kaseya vende herramientas informáticas para empresas como el programa VSA concebido para administrar redes de servidores, ordenadores e impresoras desde una única fuente. La empresa dice tener 40.000 clientes.

La compañía estimó el viernes que las atacadas eran menos de 40. Pero algunas de esas empre- sas tienen muchos clientes y el ataque se habría multiplicado rápidamente.

Kaseya contrató a la firma especializada en ciberseguridad FireEye Mandiant IR para que la ayude a resolver la crisis.

De su lado, la sociedad de seguridad informática ESET Research había identificado el sábado víctimas en 17 países.

Los ataques cibernéticos con fines de obtener dinero se han vuelto frecuentes. En los últimos meses, los blancos fueron grandes compañías, como el gigante de la carne brasileño JBS, el operador del oleoducto Colonial Pipeline en Estados Unidos, así como colectividades locales y hospitales.

John Hammond, investigador de la empresa de ciberseguridad Huntress Labs, dijo al diario The New York Times que REvil, que el FBI vinculó con la acción contra JBS en mayo pasado, podría ser el responsable de este nuevo ataque.

La naturaleza del ataque es similar al que sufrió el editor de software SolarWinds, que afectó a organizaciones gubernamentales y empresas de Estados Unidos a fines de 2020.

Excepto que este último, atribuido por Washington a los servicios secretos rusos, fue más bien “con una lógica de espionaje, mientras que nosotros estamos aquí en una lógica de extorsión”, subrayó Gerome Billois, experto en ciberseguridad de la consultora Wavestone.

El ciberataque contra Kaseya es “uno de los más importantes y vastos que he visto en mi carrera”, dijo Alfred Saikali, del bufete de abogados Shook, Hardy & Bacon, acostumbrado a lidiar con este tipo de situaciones.

En general, se recomienda no pagar el rescate, enfatizó. Pero a veces, especialmente cuando no se puede hacer una copia de seguridad de los datos, “no hay otra opción”, admitió.

Si varias empresas optan por pagar, no es seguro que el grupo de hackers “tenga la capacidad de gestionar conversaciones simultáneas”, apuntó Brett Callow.

“Si tienen que hacer cola para negociar, el tiempo perdido puede resultar muy caro”, afirmó.

¿Qué es Kaseya?. Con sede en Miami, Kaseya vende herramientas informáticas a empresas, entre ellos el programa “VSA”, destinado a gestionar redes de servidores, ordenadores e impresoras desde una sola fuente. Asegura tener 40.000 clientes en más de 20 países.

Empresas afectadas. El alcance de los daños todavía se desconoce, pero el número de víctimas puede ser importante.

Según la firma de ciberseguridad Eset, el ataque afectó empresas de al menos 17 países. Otra empresa de ciberseguridad, Huntress Labs, estimó el sábado que más de mil empresas sufrieron el ataque. El grupo que perpetró el pirateo, REvil, dijo haber comprometido un millón de puestos informáticos.

¿Qué es un ransomware?

El ataque de programa chantajista o ‘ransomware’ (contracción de las palabras rescate y programa en inglés) es una especie de secuestro digital: un programa maligno se introduce furtivamente en un sistema informático para encriptar todos sus datos y ficheros. Si quiere obtener la clave para desencriptarlo, el propietario debe pagar un rescate que normalmente se hace en bitcoins, una criptomoneda que permite a los piratas seguir ilocalizables y anónimos.

¿Qué es el grupo Revil? El ataque se atribuyó a un grupo de piratas de habla rusa conocidos con el nombre de REvil o Sodinokibi. Un informe reciente de IBM Security X-Force consideraba Sodinokibi como el grupo de cibercriminales más temido en materia de ransomware, siendo responsable de un 29% de este tipo de ataques en 2020. Los autores de este informe estiman que los piratas de REvil obtuvieron 123 millones de dólares de beneficios en 2020. REvil crea programas informáticos que permiten atacar a empresas y a individuos y los comparte con sus afiliados.