Kaseya, ataques ransomware

Cada día aparecen noticias sobre nuevos ataques de ramsonware, a cual mas importante. El ransomware es un tipo de malware (programa malicioso) que luego de comprometer un equipo (aprovechando alguna vulneravilidad, normalmente ya conocidas de forma pública) secuestra la información (encriptan los datos) y exige el pago de un rescate para recuperar los datos. La palabra es un acrónimo de las palabras “ransom” (rescate) y “software”.

Los virus infectan archivos o software y tienen la capacidad de replicarse, mientras que el ransomware altera los archivos de modo que no se puedan utilizar y, a continuación, exige un pago. Ambos pueden eliminarse con un antivirus, pero existe la posibilidad de que nunca pueda recuperar los archivos cifrados. De ahí la gravedad de este asunto.

La verdad es que este tipo de ataques son fáciles de evitar con políticas preventivas serias. Uno: todos los malware llegan adjuntos en correos email (no deberías abrir jamás un adjunto ni aunque venga de tu madre)  o embebidos en aplicaciones de dudosa confianza. Es mas una labor de concienciación del usuario que no una solución técnica, tenemos la “puta” manía de abrir todo lo que llega. Dos: como decíamos arriba, los ataques aprovechan vulneravilidades conocidas por lo que mantener los equipos actualizados deberería ser “ley” y evitaría la mayoría de agresiones. Tres: otra solución es tener copias de seguridad fuera de la red (parece evidente pero las noticias diarias demuestran que brillan por su ausencia) y, en caso de ataque, restaurar los backup. Problema resuelto y a otro cosa, mariposa. Pues nadie “prevee” nada y pasan cosas como esta…

El 2 de Julio se reporta un ataque a la compañía Kaseya que ofrece servicios IT en remoto (tecnologías de la información). Dicha empresa da servicios a mas de 36.000 clientes por todo el mundo y el ataque de ransomware afecta a una buena parte. Jamás se llegará a saber el número real de equipos encriptados (las compañías siempre intentan ocultar los daños) pero se estima que unos 1500 clientes se han visto afectados. El ataque tiene dimensiones astronómicas y quizás sea el mas importante hasta la fecha. Todavía no hay resolución para este tema, actualizaré el blog en su momento.

¿Quién está detrás?

Kaseya no ha mencionado quién está detrás del ataque, pero el grupo de hackers Revil ha reclamado la autoría del mismo y piden un rescate de 70 millones de dólares en Bitcoin. La historia se repite, este mismo grupo atacó a la empresa ACER en Marzo 2021 y a ADIF en 2020. La resolución de casi todo los casos queda normalmente en secreto, a nadie le gusta reconocer que han acabado pagando. Sorprende la aparente impunidad con la que se mueven estos grupos (aún estando el FBI y medio planeta detrás de ellos) y muchos apuestan por una procedencia y beneplácito ruso. Esto no está confirmado, a occidente le gusta siempre acusar al mismo país.

La autoría del ataque está publicada en la red Tor, en una página llamada “Happy Blog” en donde se reportan también otros muchos ataques. Si utilizas el navegador Brave (lo recomiendo, es mi navegador por defecto) puedes abrir directamente una ventana privada en Tor y acceder a esta dirección onion. Te puede servir de excusa para empezar a moverte por Tor.

dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion

Fuente: agujero.net