El pasado viernes un grupo de ciberdelincuentes lanzaba el ciberataque Kaseya con el objetivo de exigir un rescate a más de 1.000 empresas a través de su software de gestión de TI. El presidente de EE.UU, Joe Biden, destacó el pasado sábado que había abierto una investigación sobre el ransomware a Kaseya, en particular para determinar si el ataque procedía o no de Rusia.
“Este ataque de ransomware del fin de semana del 4 de julio, aparentemente llevado a cabo por el grupo de habla rusa REvil, representa una combinación catastrófica de las tendencias de ciberataques más conocidos de 2021: los ataques a la cadena de suministro y el ransomware”, destaca Eusebio Nieva, director de Check Point Software para España y Portugal. “Este 2021 ya ha batido récords de ciberataques, con un aumento histórico del 93% de ransomware y más del 97% en todos los ciberataques en la región EMEA en tan solo 12 meses. Esta ofensiva del Día de la Independencia ha alcanzado un récord de víctimas de ransomware, con una repercusión desconocida de ataques sobre todo en los Estados Unidos, con algunas víctimas en Europa”, explica Nieva.
Check Point, proveedor de soluciones de ciberseguridad a nivel mundial, alerta de que REvil es una de las familias de ransomware más relevantes a nivel mundial, responsable de decenas de brechas importantes desde 2019 y que opera bajo el rol de evitar ataques en la CEI. Eligieron este fin de semana y este método por una razón: buscaban un backdoor a más de mil empresas para infectar a otras muchas en una cadena similar a la de una pandemia, y eligieron precisamente el fin de semana del 4 de julio porque el equipo de personal informático de las empresas suele estar bajo mínimos puesto que es la gran fiesta nacional del país, y es de gran ayuda para los ciberdelincuentes porque:
- Permite que el ransomware se despliegue completamente antes de que nadie se dé cuenta
- Induce más caos durante las operaciones de respuesta si las personas clave no responden y aumenta la probabilidad de que se pague una demanda de rescate
Si se comprueba que se está ejecutando Kaseya VSA en cualquier empresa, Check Point Software da las siguientes indicaciones:
- Utilizar EDR, NDR y otras herramientas de monitorización de seguridad para verificar la legitimidad de cualquier archivo nuevo en el entorno desde el 2 de julio.
- Comprobar con los proveedores de seguridad la disponibilidad de protecciones contra el ransomware REvil.
- Si se necesita ayuda, llamar a un equipo de expertos en ciberseguridad para que verifiquen la situación dentro del entorno.
“Este ataque debería hacer sonar las alarmas para todas las compañías. Cuando se baja la guardia, los ciberdelincuentes lo aprovechan. Probablemente veremos más ataques durante las vacaciones, los fines de semana, y con el teletrabajo, los ataques son más eficaces que nunca. En el caso de este ransomware, puede que hasta el miércoles no conozcamos el alcance total de los daños”, alerta Nieva.