El grupo que atacó a Kaseya pide 70 millones de dólares de rescate

El pasado viernes, un grupo de ciberdelincuentes, el tristemente conocido REvil, lanzó un ataque de ransomware contra la compañía de prestación de servicios administrados a proveedores tecnológicos Kaseya. En principio, según la empresa atacada, no había afectado a muchos de sus clientes, pero dado que lo que comercializa son servicios para proveedores TI, el ataque se expandió por su red, afectando a clientes, y a clientes de estos. En total, se cree que ha terminado afectando a más de un millar de empresas de diversos paises. Es por tanto, un ataque de cadena de suministro de gran envergadura, para el que tres días después, REvil ha pedido ya rescate para desencriptar los dispositivos afectados: 70 millones de dólares.

Mientras tanto, se suceden las investigaciones sobre el ataque. Según el Instituto para la Publicación de Vulnerabilidades de Países Bajos (DIVD), parece que el exploit utilizado con la brecha de seguridad que sirvió para el ataque cuando este se produjo es el mismo que acababan de descubrir y en el que estaban trabajando para mitigar. La entidad apunta que estaban «llevando a cabo una investigación amplia en herramientas de administración de sistemas y backup y sus vulnerabilidades, y uno de los productos que habíamos investigado es VSA de Kaseya. Descubrimos vulnerabilidades graves en ella e informamos a Kaseya, con la que hemos estado en contacto de manera habitual desde entonces«.

Aparte de esto, las autoridades estadounidenses también están llevando a cabo su propia investigación, y según The Verge, incluso el Presidente Joe Biden ha tomado cartas en el asunto, y tal como ha asegurado la Vicedirectora y Consejera de Seguridad Nacional para Cibertecnología y Tecnología Emergente de Estados Unidos, Anne Neuberger, «el FBI y CISA contactarán con las víctimas que han sido identificadas para ofrecerles asistencia basada en una valoración de riesgo nacional«.

Por ahora los servidores cloud de software como servicio de Kaseya siguen desconectados de Internet. La compañía todavía no ha encontrado signos de que se haya modificado el código de sus servicios con intenciones dañinas, y ha confirmado, según The Register, que está probando un parque para su software en local. Además, está valorando la posibilidad de restaurar sus servicios SaaS este mismo martes, pero todavía no han tomado una decisión final sobre ello.

Desde la empresa han revisado además al alza su previsión de clientes directos afectados. En un principio aseguraron que eran menos de 40, pero ahora ya hablan de menos de 60. Esto eleva la cantidad de compañías afectadas a través de estos a algo menos de 1.500. Además, se han reunido con el FBI y la CISA «para hablar sobre el endurecimiento de requisitos de la red y los sistemas antes de la restauración de servicios para sus clientes SaaS y en local en sus instalaciones«.

Por tanto «se publicarán los requisitos antes de restaurar el servicio para dar a nuestros clientes tiempo para poner en marcha las contramedidas necesarias antes de la vuelta del servicio a lo largo del 6 de julio«. Además, están trabajando en un parche para los clientes en local, que actualmente está ya en fase de prueba y validación, y cuyos responsables esperan que esté disponible menos de 24 horas después de que los servidores SaaS de la compañía estén funcionando. Además, Kaseya ha actualizado su herramienta de detección de vulnerabilidades, por lo que sus clientes tendrán que descargarlo e instalarlo.

Descubre como evitar que tu empresa se vea envuelta en un ataque como este con esta guía