Por que el ataque de ransomware Kaseya tiene preocupados a los expertos

Por que el ataque de ransomware Kaseya tiene preocupados a los expertos

[ad_1]

La juerga de una banda de ciberdelincuentes durante el fin de semana del 4 de julio terminó infectando a más de 1.500 organizaciones de todo el mundo con ransomware, según la empresa de ciberseguridad Huntress. Pero no es la cantidad de víctimas lo que mantiene despiertos a los expertos por la noche.

La pandilla utilizó un nivel de planificación y sofisticación más cercano al de los piratas informáticos de alto nivel respaldados por el gobierno, en lugar de una mera operación criminal, dicen.

Los piratas informáticos detrás de la juerga, la banda de ransomware de habla rusa REvil, adoptaron dos nuevas tácticas que anteriormente no usaban las bandas de ransomware que continuamente piratean objetivos en todo el mundo, pero particularmente en los EE. UU. Lo más preocupante es que incluso implementaron un día cero, un término de ciberseguridad para una vulnerabilidad en un programa que los desarrolladores de software no conocen y, por lo tanto, no han tenido tiempo de corregir.

Y no apuntaron a una sola víctima, sino a una empresa con un papel pequeño pero clave en el ecosistema de Internet. Esto les dio acceso a potencialmente decenas o cientos de miles de víctimas.

«Lo que estamos viendo aquí son las tácticas de adversarios más sofisticados, como los estados-nación, que se dirigen hacia estos grupos de ransomware delictivos menos sofisticados y más motivados financieramente», dijo Jack Cable, investigador de Krebs Stamos Group, una consultora de ciberseguridad. .

REvil, probablemente mejor conocido por piratear JBS, uno de los proveedores internacionales de carne más grandes del mundo, ha estado activo desde al menos principios de 2019. Al igual que otras bandas de ransomware de habla rusa, REvil ha hecho una fortuna en los últimos años pirateando organizaciones individuales , bloqueando sus computadoras, robando sus archivos y exigiendo un pago para arreglar las cosas y no filtrar lo que robaron.

REvil ha incursionado anteriormente en la implementación de su ransomware a través de un llamado ataque a la cadena de suministro, que explota la interconexión de los servicios de Internet. En 2019, el grupo pirateó con éxito TSM Consulting Services, un pequeño proveedor de servicios administrados de Texas, que maneja servicios web para organizaciones que no quieren hacerlo por sí mismas. Pronto, 22 de los clientes de la compañía, todas las ciudades de Texas, se infectaron con el ransomware de REvil. Sin embargo, el gobierno estatal y federal se abalanzó sobre el caso, y las ciudades finalmente pudieron volver a conectarse sin pagar el rescate.

Sin embargo, durante el fin de semana, REvil llevó ese tipo de pirateo de la cadena de suministro al siguiente nivel. En lugar de piratear una sola organización, o incluso un solo proveedor de servicios administrados, piratearon Kaseya, una empresa que se especializa en el manejo de actualizaciones de software para cientos de proveedores diferentes. Eso les dio acceso a un conjunto considerable de víctimas, potencialmente más amplio que cualquier pirateo criminal conocido en la historia, según tres expertos en ciberseguridad que hablaron con NBC News.

Hasta ahora, parece que REvil no tuvo ningún impacto importante en la vida estadounidense, aunque paralizó varias empresas estadounidenses más pequeñas, provocó el cierre de una importante tienda de comestibles sueca durante más de 24 horas e infectó 11 escuelas en Nueva Zelanda. Pero eso podría ser una bala eludida porque los expertos en ciberseguridad encuentran especialmente preocupantes los ataques a la cadena de suministro, ya que pueden dar rápidamente a los piratas un acceso increíblemente amplio.

Estados Unidos descubrió a fines de 2020 que la agencia de inteligencia SVR de Rusia había pirateado la empresa estadounidense SolarWinds, exponiendo potencialmente a unas 18.000 organizaciones de clientes a los piratas informáticos de élite de una agencia de inteligencia extranjera. Eso se consideró rápidamente uno de los mayores hackeos de la cadena de suministro de la historia. Incluso después de que quedó claro que el número de víctimas confirmadas probablemente era mucho menor, la administración Biden reprendió a Rusia por la escala de la operación.

Si bien el alcance potencial del hack de SolarWinds fue enorme, no hay evidencia de que Rusia lo haya usado para otra cosa que no sea el espionaje convencional. El hecho de que REvil no parece estar directamente motivado por una cadena de mando del gobierno significa que sus ataques a la cadena de suministro podrían ser aún más peligrosos, dijo Cable.

«La diferencia aquí es que REvil está motivado financieramente. Son criminales, por lo que en muchos sentidos tienen menos límites», dijo. «Los grupos de ransomware no se rigen por las mismas reglas y, de alguna manera, podríamos ver que tiene un impacto mayor».

También es extremadamente preocupante que REvil haya podido implementar una vulnerabilidad de día cero para piratear Kaseya, dijo Brett Callow, analista de la empresa de ciberseguridad Emsisoft. Si bien no hay pruebas sólidas de cómo la pandilla pudo adquirirlo, ya sea que lo descubrió, se lo robó a los investigadores o se lo compró a un corredor, muestra que la pandilla tiene la capacidad y la intención de adquirir y desplegar herramientas de élite para orquestar enormes campañas de piratería.

«El incidente de Kaseya realmente es un evento histórico. Demuestra que los ciberdelincuentes pueden adquirir y usar vulnerabilidades de día cero y usarlas para causar interrupciones a una escala absolutamente masiva», dijo.

«Como las empresas siguen pagando millones de dólares en rescates, tenemos ciberdelincuentes más decididos y con mejores recursos que nunca», dijo. «Está creando depredadores ápice».

[ad_2]

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *