Ataques de ransomware son la pesadilla del momento en Estados Unidos

Un nuevo ciberataque de ransomware, orquestado por el grupo REvil, extorsionó a más de mil empresas, de las cuales la mayoría son estadounidenses. Los cibercriminales exigen un rescate de 70 millones de dólares.

611

Los ataques de ransomware masivos se están convirtiendo en una pesadilla para miles de organizaciones en el mundo y en especial para el gobierno de Estados Unidos.

En el último año, muchos de los ataques han proliferado a una gran escala y se han concentrado en vulnerar las cadenas de suministro críticas para la vida estadounidense, dirigiéndose no sólo a hospitales y agencias de policía, sino también a infraestructura crítica e industrias vitales.

Pero esta vez, durante el fin de semana en que se celebró el día de la independencia en dicho país, se produjo uno de los hackeos de ransomware más grandes y destructivos que se han visto en este año, después del hack de SolarWinds.

¿Qué sucedió?

Se estima que entre 800 y mil 500 organizaciones en todo el mundo fueron afectadas por un ataque de ransomware que se centró en la cadena de suministro de la empresa Kaseya, la cual brinda servicios de TI a pequeñas y medianas empresas, según informó su Director Ejecutivo a Reuters.

Los hackers distribuyeron el ransomware explotando varias vulnerabilidades en el software VSA de Kaseya, que utilizan grandes empresas y proveedores de servicios de tecnología para administrar y enviar actualizaciones a los sistemas de las redes informáticas empresariales.

Dirigirse al software VSA permitió a los hackers llegar a más víctimas, debido a que algunos de los clientes directos de Kaseya son claves en el ecosistema de Internet, ya que también ofrecen servicios de TI a otros negocios como supermercados, clínicas dentales, escuelas y más.

Bloomberg informó que el ataque paralizó una cadena de supermercados sueca, porque tuvo que cerrar 800 de sus tiendas el fin de semana, cuando el ataque provocó que dejaran de funcionar sus cajas registradoras.

Además de Estados Unidos, se identificaron víctimas en al menos 17 países, incluidos el Reino Unido, Sudáfrica, Canadá, Argentina, México, Indonesia, Nueva Zelanda y Kenia, según datos de la firma de ciberseguridad ESET.

¿Quién es el responsable?

El ataque está vinculado a una banda de cibercriminales con sede en Rusia que surgió en 2019, conocida como REvil.

Este grupo opera un tipo deransomware como servicio” (RaaS) con el mismo nombre, y se ha caracterizado por apuntar a los proveedores de servicios de tecnología.

REvil también estuvo involucrado en el hackeo de JBS, uno de los productores de carne más grandes de Estados Unidos. La compañía tuvo que pagar un rescate de 11 millones de dólares al grupo criminal para reanudar sus operaciones.

En este nuevo ataque, REvil exigió un rescate de 70 millones de dólares en Bitcoins para facilitar a las víctimas una clave de descifrado general. Muchos analistas afirman que la oferta de un pago general denota que la gran cantidad de redes infectadas ha sobrepasado la capacidad del grupo criminal.

“Este ataque es mucho más grande de lo que esperaban y está recibiendo mucha atención. A REvil le interesa terminarlo rápidamente”, dijo Allan Liska, analista de la firma de ciberseguridad Recorded Future.

¿Cómo reaccionó Estados Unidos?

La administración de Joe Biden ha dejado en claro que una de sus principales preocupaciones es la ciberseguridad, ya que los ciberataques, incluyendo el ransomware, representan una gran amenaza para la seguridad nacional y pública de cualquier nación.

Dado que la mayoría de los ataques provienen de Rusia, Biden se ha reunido con el presidente ruso, Vladimir Putin, para lograr un acuerdo sobre la problemática de la seguridad cibernética.

En su reunión del pasado mes de junio, Biden le pidió a Putin que los ataques a la infraestructura crítica como telecomunicaciones, salud y energía deberían estar fuera del límite permitido.

No obstante, los cibercriminales como REvil se están volviendo más sofisticados e incluso suelen revisar las finanzas y pólizas de seguro de sus víctimas para saber cuánto dinero pueden pagar para el rescate.

Además, varios funcionarios estadounidenses afirman que muchas de las bandas de cibercriminales colaboran con los servicios de inteligencia del Kremlin.

El fin de semana, el presidente Biden dijo a The Washington Post que en caso de que se compruebe que Rusia estaba involucrada en el ataque, “habrá consecuencias”. “Le dije a Putin que responderemos”, declaró Biden.

Si bien los expertos en ciberseguridad no creen que el Kremlin esté vinculado con el ataque a Kaseya, el incidente demuestra que Putin no se está preocupando mucho por controlar a los ciberdelincuentes.

El FBI recomienda no pagar rescates

En tanto, Christopher Wray, director de la Oficina Federal de Investigaciones (FBI), recomendó a las compañías y organizaciones que sean víctimas de ransomware no pagar los rescates, durante una audiencia del Comité Judicial de la Cámara de Representantes, según datos de la agencia AP.

De acuerdo con Wray, pagar los rescates puede fomentar ciberataques adicionales y es posible que las víctimas no recuperen automáticamente sus datos a pesar de haber invertido millones.

En su lugar, el representante del FBI dijo que lo mejor es coordinarse y trabajar con las fuerzas del orden público desde el día cero del ataque. La agencia de inteligencia estadounidense afirma que ha logrado obtener las claves de cifrado de varios ataques y desbloquear los datos incautados sin realizar ningún pago.

Sin embargo, muchas compañías han seguido el juego de los piratas informáticos pagando los rescates solicitados, por temor a que se revelen sus datos o a un cierre prolongado de sus negocios que genere pérdidas monetarias más catastróficas.