La compañía de software Kaseya, que crea soluciones y productos para empresas que necesitan servicios de IT en remoto, sufrió el pasado viernes un ciberataque. Dado que la empresa está conectado a cientos de otras empresas para ofrecer sus servicios, el ataque ransomware se ha desplegado directamente ofreciendo a los hackers acceso a muchas otras compañías. Se cree que es uno de los mayores ataques de este tipo registrados.
Kaseya es una empresa que vende sus productos a proveedores de servicios gestionados. Es decir, es la empresa que ofrece las herramientas de software para que otras empresas ofrezcan servicios y soporte IT a otras muchas empresas. Mediante el software de Kaseya sus clientes pueden administrar y enviar actualizaciones a sus propios clientes (que son empresas más pequeñas).
Kaseya reveló el ataque el pasado viernes indicando que había sido víctima de “un posible ataque”, afectando en primer lugar a un software propio llamado VSA. Avisó a los clientes para que apaguen el VSA de forma inmediata. Avisaron también de que el ataque había sido efectuando sobre un limitado número de usuarios sólo, aunque en casos así generalmente se despliega prácticamente de forma exponencial.
No se sabe a ciencia cierta cómo se está efectuando esta ataque. Sin embargo, parece ser que está afectando tanto a Kaseya como a sus clientes y a los clientes de estos. Mediante una actualización maliciosa del servicio VSA, el ataque ransomware se ha desplegado a la propia Kaseya, a sus clientes que utilizan la herramienta y hasta a los clientes e estos que reciben servicios de IT.
Kaseya por el momento dice que “menos de 40” de sus clientes han sido afectados. Estos “menso de 40” clientes como hemos visto pueden tener a cientos de clientes a sus espaldas, que en principio también se pueden ver afectados.
¿Quién está detrás del ataque?
De nuevo, no se sabe a ciencia cierta. Pero hay suficientes pistas y e según el _modus operandi_ para intuir que se trata del grupo de hackers REvil. Previamente extorsionaron por ejemplo a Apple filtrando algunos prototipos del MacBook, también pidieron a Acer 50 millones de dólares recientemente y en España fueron a por Adif.
El grupo REvil, parece estar pidiendo diferentes precios de rescate para las empresas dependiendo de su tamaño. En Washington Post indican que han enviado “dos notas de rescate diferentes el viernes, exigiendo 50.000 dólares de las empresas más pequeñas y 5 millones de dólares de las más grandes”.
El organismo federal de control de la ciberseguridad de Estados Unidos ha anunciado que están tomando medida par abordar el ataque de ransomware a Kaseya y cómo este ha afectado a otros clientes. Ya avisaron de que iban a perseguirlos con firmeza. Las recomendaciones de momento son seguir las instrucciones de Kaseya para parar las operaciones con VSA temporalmente.
Ver 11 comentarios