Redacción NM
Joe Biden dijo el sábado que había ordenado a las agencias de inteligencia estadounidenses que investigaran un sofisticado ataque de ransomware que afectó a cientos de empresas estadounidenses cuando comenzó el fin de semana festivo del 4 de julio y despertó sospechas de participación en pandillas rusas.
Huntress, una compañía de seguridad, dijo el viernes que creía que la pandilla de ransomware REvil vinculada a Rusia era la culpable. El mes pasado, el FBI culpó al mismo grupo de paralizar a la empacadora de carne JBS.
Activo desde abril de 2019, REvil desarrolla software que paraliza la red y lo alquila a los supuestos afiliados que infectan a los objetivos y ganan la mayor parte de los rescates. JBS, una empresa cárnica con sede en Brasil, dijo que había pagado el equivalente a un rescate de 11 millones de dólares, aumentando los pedidos de las fuerzas del orden de Estados Unidos para llevar a esos grupos ante la justicia.
En una visita a Michigan, se le preguntó a Biden sobre el truco mientras compraba pasteles en un huerto de cerezos. El presidente dijo “no estamos seguros” de quién está detrás del ataque.
«La idea inicial fue que no era el gobierno ruso, pero aún no estamos seguros», dijo.
Biden dijo que había ordenado a las agencias de inteligencia estadounidenses que investigaran, y que Estados Unidos respondería si determinaba que Rusia era la culpable. En una cumbre en Ginebra el 16 de junio, Biden instó a Vladimir Putin a tomar medidas enérgicas contra los piratas informáticos de Rusia y advirtió sobre las consecuencias si continuaban los ataques de ransomware.
Los piratas informáticos que atacaron el viernes secuestraron un software de gestión de tecnología ampliamente utilizado de un proveedor, Kaseya, que tiene oficinas centrales en Dublín y Miami. Cambiaron una herramienta llamada VSA, utilizada por empresas que administran tecnología en empresas más pequeñas, y luego cifraron los archivos de los clientes de esos proveedores.
Kaseya dijo que estaba investigando un «ataque potencial» en VSA, que es utilizado por profesionales de TI para administrar servidores, computadoras de escritorio, dispositivos de red e impresoras. Huntress dijo que estaba rastreando a ocho proveedores de servicios administrados que se habían utilizado para infectar a unos 200 clientes.
Los efectos se sintieron internacionalmente. En Suecia, la mayoría de las 800 tiendas de la cadena de supermercados Coop no pudieron abrir porque las cajas registradoras no funcionaban, según la emisora pública. Los ferrocarriles estatales y una importante cadena de farmacias también se vieron afectados.
“Este es un ataque colosal y devastador a la cadena de suministro”, dijo John Hammond, investigador senior de seguridad de Huntress, refiriéndose a una técnica cada vez más destacada de secuestrar una pieza de software para comprometer a cientos o miles de usuarios.
El director ejecutivo de Kaseya, Fred Voccola, dijo que la compañía creía que había identificado la fuente de la vulnerabilidad y que «lanzaría ese parche lo más rápido posible para que nuestros clientes vuelvan a funcionar».
Voccola dijo que se sabía que menos de 40 clientes de Kaseya estaban afectados, pero que el ransomware podría estar afectando a cientos de empresas que dependen de los clientes de Kaseya.
Voccola dijo que el problema solo afectaba a los clientes «en las instalaciones», organizaciones que tienen sus propios centros de datos. No estaba afectando los servicios basados en la nube que ejecutan software para los clientes, aunque Kaseya había cerrado esos servidores como medida de precaución, dijo.
La compañía dijo que «los clientes que experimentaron ransomware y reciben una comunicación de los atacantes no deben hacer clic en ningún enlace, ya que pueden estar armados».
Un analista de Gartner, Katell Thielemann, dijo que estaba claro que Kaseya “reaccionó con mucha cautela. Pero la realidad de este evento es que fue diseñado para un impacto máximo, combinando un ataque a la cadena de suministro con un ataque de ransomware «.
Para complicar la respuesta, el ataque ocurrió al comienzo de un feriado importante en los EE. UU., Cuando la mayoría de los equipos de TI corporativos no cuentan con el personal completo. Eso podría dejar a las organizaciones incapaces de abordar otras vulnerabilidades de seguridad, como un peligroso error de Microsoft que afecta al software para trabajos de impresión, dijo James Shank, analista de inteligencia de amenazas.
“Los clientes de Kaseya se encuentran en la peor situación posible”, dijo Shank. «Están compitiendo contra el tiempo para obtener actualizaciones sobre otros errores críticos».
Shank dijo que «es razonable pensar que el momento fue planeado» para las vacaciones.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (Cisa) dijo que estaba «tomando medidas para comprender y abordar el reciente ataque de ransomware en la cadena de suministro». Dichos ataques se han colocado en la cima de la agenda de ciberseguridad después de que Estados Unidos acusara a los piratas informáticos de operar bajo la dirección del gobierno ruso y manipular una herramienta de monitoreo de red construida por una empresa de software de Texas, SolarWinds.
El jueves, las autoridades estadounidenses y británicas dijeron que los espías rusos acusados de interferir en las elecciones estadounidenses de 2016 habían pasado gran parte de los últimos dos años abusando de las redes privadas virtuales (VPN) para atacar organizaciones en todo el mundo. La embajada de Rusia en Washington negó la acusación.
