Después de un domingo fatídico, la empresa de tecnología informática Kaseya confirmó que fue víctima de un "sofisticado" ciberataque de ransomware, que dejó un saldo de destrucción récord en las compañías afectadas. Según detalló Kaseya, al menos 40 de sus clientes fueron afectados. Aunque ese número parece bajo, esas 4 decenas de empresas tienen a la vez muchos más clientes, por lo que el efecto dominó de daños podría ser enorme. 

Todavía no se sabe el número final de afectados. Según el propio grupo de ransomware REvil, responsable del ataque, los puestos informáticos afectados ascienden al millón. Sin embargo, la empresa de ciberseguridad, Huntress Labs, estimó el sábado que más de mil empresas sufrieron el ataque, un número mucho menor. De cualquier manera, el alcance fue enorme: la firma de ciberseguridad asguró que el ataque afectó empresas de al menos 17 países.

Y todo esto no significa un ataque a gran escala planeado y ejecutado en simultáneo, sino que los atacantes solamente tuvieron que atacar los puntos débiles del servicio de Kaseya, donde se gestionan y actualizan flotas de cientos de equipos. Así, el ransomware se extendió por toda la red a través de su solución VSA en la nube.

Una vez hecha la primera etapa del ransomware —el hackeo— REvil procedió a la segunda etapa: el rescate. La cifra final es de las más grandes de la historia: 70 millones de dólares, 20 millones más que los que le pidieron a Acer en Marzo pasado.

A su vez, REvil también desarrolló la tercera etapa, convirtiendo el ataque en un ransomware de triple extorsión: le pidió rescate a las empresas más pequeñas que habían contratado los servicios de Kaseya. Según el Washington Post, las peticiones de rescate iban desde los 5 millones de dólares para las compañías más grandes y unos 50.000 a las más chicas. 

Sin embargo, esos 50.000 dólares eran en realidad para desbloquear una extensión. Es que los hackers cifraron los archivos secuestrados con múltiples extensiones, por lo que el desbloquearlas todas eleva el precio a unos 500.000 dólares finales. Todo en bitcoin, como suelen pedir en este tipo de ciberataques. 

En vistas de todo esto, Kaseya pidió a sus clientes que desactivaran sus softwares inmediatamente y  "hasta nuevo aviso". Además, informó que harán lo propio con sus servidores de servicio: "Nuestros expertos externos nos han aconsejado que los clientes que experimentaron el ransomware y reciban comunicaciones de los atacantes, no deben hacer clic en ningún enlace, ya que puede ser un arma".

 

Además, la empresa detalló en un comunicado: "Debido a la rápida respuesta de nuestros equipos, creemos que esto se ha localizado en un número muy pequeño de usuarios locales". Un tanto equivocado, sobre todo despúes de que Clusif, una asociación de expertos franceses de ciberseguridad constatara que el ataque "llegó a una cadena de supermercados en Suecia (Coop Suède, ndlr), muy lejos del punto de intrusión inicial". "Estamos ante un fenómeno sistémico al que todos tememos", indicó a la AFP Loic Guezo, secretario general de la agencia. 

De hecho, la mayor parte de las 800 tiendas de Coop Suède seguían cerradas este lunes por el ciberataque, según esta cadena de gran distribución. En una nota posterior, Kaseya apuntó que ya están trabajando con el Buró Federal de Investigaciones (FBI, en inglés) en lo ocurrido. Además, señaló que estaban en "el proceso de investigar la causa raíz del incidente con la máxima vigilancia".

Ransomware: qué es

El ataque de programa chantajista o 'ransomware' (contracción de las palabras rescate y programa en inglés) es una especie de secuestro digital: un programa maligno se introduce furtivamente en un sistema informático para encriptar todos sus datos y ficheros.

Si quiere obtener la clave para desencriptarlo, el propietario debe pagar un rescate que normalmente se hace en bitcoins, una criptomoneda que permite a los piratas seguir ilocalizables y anónimos.

 

Qué es el grupo REvil

El ataque se atribuyó a un grupo de piratas de habla rusa conocidos con el nombre de REvil o Sodinokibi. Un informe reciente de IBM Security X-Force consideraba Sodinokibi como el grupo de cibercriminales más temido en materia de "ransomware", siendo responsable de un 29% de este tipo de ataques en 2020.

Los autores de este informe estiman que los piratas de REvil obtuvieron 123 millones de dólares de beneficios en 2020.

REvil crea programas informáticos que permiten atacar a empresas y a individuos y los comparte con sus afiliados, que lanzan ellos mismos el programa y reparten después el rescate.

En 2021, la autoridad de la seguridad informática francesa (Anssi) explicó que el programa de Sodinokibi estaba disponible en foros criminales rusófonos para atacantes de élite. "Sodinokibi decidió limitar significativamente el número de afiliados, imponer un nivel de actividad elevado y prohibir todo afiliado anglófono", explicó este organismo.