El ciberataque contra la empresa estadounidense Kaseya, que ofrece herramientas de gestión de tecnología de información (TI), afectó a más de 1.000 empresas, dijo este sábado la firma de ciberseguridad Huntress Labs.
Kaseya aseguró por su parte que el ataque se limitó “a un número muy reducido de clientes”, pero estos últimos prestan servicios a otras empresas, a las que los piratas informáticos pudieron llegar para exigir un rescate.
Kaseya había confirmado más temprano que su plataforma de administración de sistemas, llamada VSA, sufrió un “sofisticado” ciberataque.
La firma reiteró el llamado a sus clientes a apagar inmediatamente sus servidores “hasta nuevo aviso” y señaló que harán lo propio con sus servidores de servicio.
”Nuestros expertos externos nos han aconsejado que los clientes que experimentaron el ransomware (un programa que secuestra los datos del usuario a cambio de un pago para liberarlos) y reciban comunicaciones de los atacantes, no deben hacer clic en ningún enlace, ya que pueden ser un arma”, agregó la comunicación aparecida en la web de la empresa.
La Agencia de Estados Unidos para la Seguridad Cibernética y la Infraestructura (CISA) dijo en su propio sitio web que estaba tomando medidas “para comprender y abordar el reciente ataque de ransomware” contra el programa VSA de Kaseya y múltiples proveedores de servicios.
Los ransomware explotan los agujeros de seguridad de una empresa o individuo. Bloquean sus sistemas informáticos, para después exigir un rescate para desbloquearlos.
“De acuerdo a los modelos de computadora, las notas de ransomware y la URL TOR (la dirección de Internet utilizada) creemos firmemente” que un integrante del grupo de piratas informáticos conocido como Revel o Sodinokibi “está en el origen de estas intrusiones”, dijo Huntress Labs en un mensaje publicado en el foro de Reddit.
A principios de junio el FBI atribuyó a ese grupo de hackers el ataque informático contra el gigante mundial de la carne JBS, que paralizó sus actividades en Norteamérica y Australia durante varios días.
Estados Unidos se ha visto afectado en los últimos meses por una ola de ataques cibernéticos a grandes empresas como JBS y el operador de oleoductos Colonial Pipeline, así como a comunidades y hospitales locales.
Debido al gran número de empresas potencialmente afectadas, el ataque podría ser uno de los mayores de la historia. Los investigadores creen que REvil, el mismo grupo de hackers que atacó a JBS, está detrás del ataque.
El ataque podría agudizar las tensiones entre Estados Unidos y Rusia, ya que se produce apenas unas semanas después de que el presidente Joe Biden se reuniera con el presidente ruso Vladimir Putin en Ginebra, advirtiéndole de que Estados Unidos haría responsable a Moscú de los ciberataques procedentes de Rusia. Muchos analistas de amenazas de ciberseguridad creen que REvil opera en gran medida desde Rusia. La reciente oleada de ataques subraya el reto al que se enfrenta el gobierno de Biden a la hora de disuadir los ataques de ransomware llevados a cabo por delincuentes que cuentan con un refugio seguro en países como Rusia.
En lugar de un ataque cuidadoso y dirigido a una sola gran empresa, este hackeo parece haber utilizado proveedores de servicios gestionados para propagarse indiscriminadamente a través de una enorme red de empresas más pequeñas. A diferencia de la mayoría de los ataques de ransomware, no parece que REvil haya intentado robar datos sensibles antes de bloquear a sus víctimas, dijo a The Washington Post Fabian Wosar, director de tecnología de Emsisoft, una empresa que proporciona software y asesoramiento para ayudar a las organizaciones a defenderse de los ataques de ransomware.
LOS NUEVOS MÉTODOS
Las agencias estadounidenses y británicas revelaron esta semana detalles de los métodos de “fuerza bruta” que, según denunciaron, han sido utilizados por la inteligencia rusa para tratar de entrar en los servicios en la nube de cientos de agencias gubernamentales, empresas de energía y otras organizaciones.
Una advertencia publicada por la Agencia de Seguridad Nacional de Estados Unidos describe los ataques realizados por agentes vinculados al GRU, la agencia de inteligencia militar rusa, que ha sido vinculada previamente a grandes ciberataques en el extranjero y a los esfuerzos por perturbar las elecciones estadounidenses de 2016 y 2020.
En un comunicado, el director de ciberseguridad de la NSA, Rob Joyce, dijo que la campaña estaba “probablemente en curso, a escala global.”
Los ataques de fuerza bruta consisten en el abordaje automatizado de sitios con posibles contraseñas hasta que los hackers consiguen acceder. El aviso insta a las empresas a adoptar métodos que los expertos consideran de sentido común en materia de seguridad, como el uso de la autenticación de dos factores y la exigencia de contraseñas seguras.
Con información de AFP y EFE
SEGUIR LEYENDO: