Empresas de todo el mundo, entre ellas de España, Colombia y México, han sido víctimas del ransomware REvil que, durante este fin de semana, ha puesto en jaque al software de gestión de IT, Kaseya VSA.
En al menos 17 países se han podido notar los efectos del también conocido como Sodinokibi, un malware de rescate que apuntó a uno de los eslabones de la cadena de suministro utilizando el instalador de una actualización automática, perteneciente al software de gestión de IT de la compañía Kaseya, que es utilizado comúnmente por proveedores de servicios administrados.
Los MSP o proveedores de servicios administrados son empresas que ofrecen servicios de gestión de tecnología de la información de manera remota. En este caso, la actualización afectó a estas que, a su vez, infectaron los sistemas de sus clientes.
Uno de los ataques más grandes hasta la fecha
Si bien la compañía informó que inicialmente menos de 40 de sus clientes se habían visto afectados por el ataque, la firma de seguridad Huntress elevaba el pasado sábado la cifra a más de 200 empresas que, a su vez, habían podido funcionar como multiplicadores del virus.
Based on #ESET’s telemetry, we have identified victims in the UK, South Africa, Canada, Germany, USA, Colombia, Sweden, Kenya, Argentina, Mexico, the Netherlands, Indonesia, Japan, Mauritius, New Zealand, Spain and Turkey so far. 2/3 pic.twitter.com/CSzOai0uwq
— ESET research (@ESETresearch) July 4, 2021
De esta forma, el Financial Times y el Wall Street Journal han afirmado que los piratas informáticos han conseguido llevar a cabo uno de los ciberataques a la cadena de suministro más grandes hasta la fecha.
40.000 clientes notificados
A través de su sitio web, Kaseya ha advertido a sus casi 40.000 clientes de la situación. Asimismo, la compañía notificó a las firmas potencialmente afectadas, recomendando que cerrasen los servidores VSA de manera inmediata hasta que se publique un parche que cubra los potenciales robos de información.
No obstante, para muchas empresas esta alerta llegó demasiado tarde y su información quedó cifrada.
Según explica el sitio BleepingComputer, este ataque de REvil solo cifró los archivos de las víctimas y no robó información previa al cifrado para extorsionar a las víctimas que no paguen con filtrar la información secuestrada.
Rescates
El pago solicitado a cada víctima de este ataque es distinto para cada caso, estimando que la cifra más elevada es de 5 millones de dólares, tal y como algunos investigadores aseguran haber visto.
Los rescates solicitados por los atacantes varían de acuerdo con la empresa afectada, siendo generalmente las cifras más elevadas exigidas a compañías que cuentan con mayores ganancias.
