Kaseya y su espeluznante ataque de ransomware: esto es todo lo que sabemos hasta el momento
Seguridad

Kaseya y su espeluznante ataque de ransomware: esto es todo lo que sabemos hasta el momento

La noticia saltaba este mismo fin de semana, el día 2 de julio. Kaseya, una compañía de software especializada en soluciones y productos para empresas que necesitan servicios IT en remoto, sufría un ciberataque de ransomware. Dado que Kaseya está conectada otras empresas (a las que ofrece su servicio), se cree que entre 800 y 1.500 empresas podrían haber sido alcanzadas y que alrededor de 60 han sido afectadas directamente.

Dado el alcance de Kaseya y sus servicios, se cree que es uno de los mayores ataques de ransomware que se han registrado. A continuación repasamos todo lo que se sabe hasta el momento y todo lo que ha confirmado la compañía.

Cronología del ataque a Kaseya

Todo comienza el viernes, 2 de julio, a las 22:00 hora española. Kaseya publica en su web un aviso en el que aseguran estar investigando un "ataque potencial contra el [servicio] VSA que indica que se ha limitado a un pequeño número de nuestros clientes locales únicamente". Cerraron los servidores SaaS y notificaron el problema a los clientes para que apagaran los servidores VSA. Un VSA, grosso modo, es un software de gestión de IT.

Poco más tarde, la empresa confirmó haber desplegado al equipo interno de respuesta a incidente y haber contratado a "los principales expertos de la industria en investigaciones forenses" para determinar el origen del problema. También notificaron a las agencias pertinentes, incluyendo el FBI y CISA.

Eran las 4:00, hora española. En ese momento, Kaseya afirmaba que los primeros indicadores sugerían que solo un número muy pequeño de clientes locales habían sido afectados. Estimaban que unos 40, que no son pocos aunque son muchos menos que los más de 36.000 clientes que Kaseya tiene en su haber. "Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales que se probará a fondo", aseguraba la empresa.

Y llegó el momento. 3 de julio, 16:30 hora local española. Kaseya cofirma haber sido víctima de un "sofisticado ciberataque". Aunque seguían haciendo hincapié en que solo habían sido afectados unos cuantos clientes locales, la firma seguía recomendando que los servidores VSA se mantuvieran inactivos y, de paso, advertían a los clientes que hubieran recibido una comunicación de los atacantes que no hicieran clic en ningún enlace.

Vsa
VSA.

Más tarde, a eso de las 3:00 del 4 de julio en España, Kaseya confirmó estar desarrollando una herramienta de detección (que se implementaría más tarde y que sería solicitada por 900 clientes). El departamento de I+D replicó el vector de ataque y comenzó a corregir el código, algo que, decían, les llevaría 24 o 48 horas. El 4 de julio, Fred Voccola, CEO de la empresa, fue entrevistado en Good Morning America y, en pocas palabras, dijo "Estamos seguros de que sabemos cómo sucedió y lo estamos remediando".

Al día siguiente, 5 de julio, a las 2:00 hora peninsular española, se reunió el comité ejecutivo de la empresa para abordar el problema y determinar las soluciones. Esta es la última información oficial que tenemos por parte de la empresa:

"Hasta la fecha, tenemos conocimiento de menos de 60 clientes de Kaseya, todos los cuales usaban el producto local de VSA, que se vieron directamente comprometidos por este ataque. Si bien muchos de estos clientes brindan servicios de TI a muchas otras empresas, entendemos que el impacto total hasta ahora ha sido en menos de 1.500 empresas posteriores".

Aseguran que VSA ha sido el único producto afectado, que el parche para clientes se ha desarrollado y se encuentra en proceso de validación y que la estimación actual de volver a poner en línea los servidores SaaS es para el 6 de julio (hoy), aunque todavía no tienen clara la fecha. Hasta el momento, más de 2.000 clientes han descargado la herramienta de detección que mencionábamos antes.

¿Y quién está detrás?

Hackers

Esto es todo lo que la empresa ha desvelado hasta el momento, pero hay más. De acuerdo a ESET, el ataque se llevó a cabo mediante la explotación de una vulnerabilidad zero-day (CVE-2021-30116) que se estaba reparando. Entre las entidades afectadas hay una cadena de supermercados en Suecia y al menos 11 escuelas en Nueva Zelanda. Según ESET, hay clientes afectados en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.

La cosa es que Kaseya no ha mencionado quién está detrás del ataque, pero unos hackers han reclamado la autoría del mismo y piden un rescate de 70 millones de dólares en Bitcoin. Seguramente la historia resulte familiar, porque fue lo mismo que le pasó a Acer en marzo. ¿Quiénes son estos hackers? REvil, que también atacó Adif en 2020.

En una publicación en su blog oficial, REvil afirma haber bloqueado más de un millón de sistemas y las redes de al menos mil empresas en todo el mundo. Tal y como explican en Bleeping Computer, REvil ha usado diferentes extensiones para encriptar los archivos y pide hasta 44.999 dólares para desbloquear los archivos encriptados con cada extensión. Para desbloquear varias extensiones han llegado a pedir 500.000 dólares.

Rescate
Rescate solicitado por REvil.

Un representante de los hackers ha dicho a Reuters que "siempre estamos dispuestos a negociar", pero Voccola, CEO de la empresa, ha dicho que "no puedo comentar 'sí', 'no' o 'tal vez'" y que "no hay comentarios sobre nada que tenga que ver con negocios con terroristas de ninguna manera".

CISA y el FBI, por su parte, han compartido una guía para las víctimas del ataque, aunque reconocen que "debido a la escala potencial de este incidente, es posible que el FBI y CISA no puedan responder a cada víctima individualmente, pero toda la información que recibamos será útil para contrarrestar esta amenaza". Por el momento el problema persiste y habrá que cómo termina.

Temas
Inicio