Home Seguridad A merced de los hackers: caso Kaseya

A merced de los hackers: caso Kaseya

por Rocio Diaz
Ransomware

En esta época de tanta tecnología, donde dependemos extensivamente de la nube, de la Internet y de mucho código para manejar nuestras operaciones y almacenar una cantidad de datos cada vez mayor, los riesgos informáticos están constantemente al acecho.

Historias abundan, desde hackeos masivos a sistemas hasta robo de identidad por vía de phishing. No importa que se trate de un pequeño negocio en alguna isla del mundo, un individudo cualquiera en cualquier parte del planeta o un gigante tecnológico como Google: todos, tarde o temprano, caemos víctima de los hackers y el cibercrimen.

El más reciente caso en llamar la atención involucra a una compañía quizás no tan conocida por la colectividad -como ocurrió con el apagón Fastly días atrás-, pero el efecto no se hizo esperar, siendo la noticia que dominó durante la mayor parte del lunes, y con potencial de seguir dominado durante los próximos días.

Nuevamente, el mundo ha sido testigo de un ataque de ransomware dirigido a una entidad ubicada en los Estados Unidos, aprovechándose para ello la cercanía de un fin de semana feriado.

Lo ocurrido durante el fin de semana de la independencia estadounidense puede describirse como de película: un masivo ataque por ransomware, justo cuando nadie estaba prestando atención, perpetrado por algún afiliado a REvil, un colectivo ruso que se cree opera con permiso del Kremlin.

El ataque fue dirigido a Kaseya, un proveedor de software de manejo de TI que ofrece, entre otras soluciones, administradores virtuales de sistemas y servidores (VSA), siendo esta la puerta de entrada del ataque de REvil al explotarse una vulnerabilidad hasta ese entonces desconocida (zero day exploit).

A través de Kaseya, miles de negocios en alrededor de 17 países se vieron afectados por el ataque de ransomware, esto pese a que, según datos de los ejecutivos de la compañía, solo entre 50 y 60 de sus 37 mil clientes cayeron víctimas de REvil.

¿Qué pasó aquí? Bien sencillo: algunos de los clientes Kaseya afectados por ransomware son a su vez proveedores de servicios a terceros, y eso va formando una red extensa, al punto que se dice que este es el ataque por ransomware más grande la historia (hasta que venga otro y se anime a superarlo). Según se reporta, en todos los continentes hay víctimas, con incidentes reportados en Estados Unidos, Indonesia, Suecia, Sudáfrica, México y Nueva Zelanda, entre otros países.

Inicialmente, los atacantes pedían pagos individuales a las víctimas a cambio de la liberación de sus sistemas, pero en vista de la magnitud del ataque, están pidiendo un pago global de 70 millones de dólares en Bitcoin para liberar la llave maestra.

Es malo caer en manos de hackers por vía de ransomware, y es aún peor cuando la brecha se abre a través de un tercero. En Kaseya están confiados en que la vulnerabilidad explotada no sólo fue solo en su VSA, sino que otros jugadores relacionados a ese servicio también tuvieron vulnerabilidades explotadas. Las investigaciones están a cargo de la firma se ciberseguridad Mandiant.

¿En qué parará este asunto? Ya veremos si los hackers se salen con la suya, lo cual nunca es recomendable. Si se cede al pago, es posible que ocura como en el caso de Colonial Pipeline, que al poco tiempo se recuperó una parte del dinero tras haberse identificado la billetera principal.

En lo que este caso se define, un dato aterrador: la firma de ciberseguridad Cybereason asegura que hay un ataque con ransomware cada 11 segundos, estimando que para este año las pérdidas globales por esa actividad ascenderán a los 20 mil millones de dólares. Asimismo, dicen estos expertos que NO vale la pena pagar a los atacantes. En definitiva, hay que estar muy pendientes a este tema.

ACTUALIZACION: Kaseya obtuvo la llave maestra, y trabaja con Emsisoft desde el 21 de julio para restaurar los sistemas afectados. No hay detalles de cómo la obtuvo, si fue pagando a REvil o por otra vía.