El ransomware que atac�� Estados Unidos el 4 de julio: REvil, el extorsionador

El malware aprovech�� el fin de semana festivo. REvil ha cibersecuestrado hasta 350 organizaciones por el mundo.

Actualizado a 5 de julio de 2021 21:32 CEST

En el tema de los ciberataques y la pirater��a inform��tica, queda claro que nadie est�� a salvo, y a cualquiera le pueden hackear el ordenador, el m��vil, etc, sin que tenga nada que ver si es rico o pobre, currante o conde. Pero hay criminales que prefieren atacar a lo grande, e irse a por los botines m��s suculentos

Ransomware, el malware preferido

??El 'ransomware' es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la informaci��n que contienen, y para su liberaci��n exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT).?

Seg��n un informe de los expertos en ciberseguridad de Trend Micro, los actores del ransomware moderno identifican y apuntan a los datos valiosos, a menudo exfiltr��ndolos de la organizaci��n de la red de la v��ctima en lugar de simplemente cifrarlos. Esto les da otra v��a de extorsi��n: si la v��ctima no paga el rescate, el atacante puede amenazar con hacer p��blicos los datos privados. Y para las empresas que tienen datos de propiedad intelectual, informaci��n de propiedad, datos privados de los empleados y datos de los clientes, esto es una preocupaci��n seria.

Porque en su sector, ��cualquier filtraci��n de datos conllevar�� sanciones reglamentarias, demandas judiciales y da?os a la reputaci��n��.

REvil

Un viejo conocido del que ya hemos hablado otras veces, REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes ��afiliados�� a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afect�� a m��s de 20 peque?as administraciones locales en Texas.

Adem��s, con la disminuci��n de otras ofertas de RaaS, REvil se ha vuelto m��s activo. Seg��n los expertos en Ciberseguridad de Sophos, ��sus asociados han sido excesivamente persistentes en sus esfuerzos ��ltimamente, trabajando continuamente para subvertir la protecci��n contra el malware. En este brote en particular, los agentes de REvil no s��lo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protecci��n (C:\Program Files\Kaseya\ y similares) est��n siendo capaces de desplegar un el c��digo ransomware de REvil��.

Extorsionando a Am��rica el 4 de julio

El pasado viernes, mientras muchas empresas de Estados Unidos ya ten��an al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el D��a de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsi��n generalizado.

Utilizando un exploit (vulnerabilidad) del servicio de gesti��n remota VSA de Kaseya, los actores de REvil lanzaron "un paquete de actualizaci��n malicioso dirigido a los clientes de proveedores de servicios gestionados" y a los usuarios empresariales de la versi��n local de la plataforma de gesti��n y monitorizaci��n remota VSA de Kaseya.

??Los operadores de REvil publicaron en su blog que m��s de un mill��n de dispositivos hab��an sido infectados por la actualizaci��n maliciosa. Tambi��n dijeron que estaban dispuestos a proporcionar un desencriptador universal para las v��ctimas del ataque, pero a cambio de que se les pagaran 70 millones de d��lares en bitcoins.??El alcance de la vuelta de REVil se est�� traduciendo en m��s de 70 proveedores de servicios gestionados afectados, lo que ha provocado un efecto de contagio a m��s de 350 organizaciones afectadas en todo el mundo.

Seg��n Ross McKerchar, VP y Director de Seguridad de Informaci��n de Sophos, ��Creemos que el alcance total de las organizaciones v��ctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las v��ctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canad��, as�� como otras tantas en Australia, el Reino Unido y otras regiones��.

Cibersecuestros alrededor del mundo

?Algunos atacantes de ransomware que han tenido ��xito ��han recaudado millones de d��lares en concepto de rescate, lo que les ha permitido comprar exploits de d��a cero muy valiosos��. Ciertos exploits suelen considerarse s��lo al alcance de estados-naci��n. Mientras que los ��estados-naci��n�� los utilizar��an con moderaci��n para un ataque aislado espec��fico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede ��perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana��, seg��n Sophos.

Lo que es seguro es que no ser�� la ��ltima vez que veremos a REvil en acci��n, dado lo eficaz que demuestra ser en su terreno.