Organizaciones en todos el mundo han sido afectadas, la mayor parte en Estados Unidos, Alemania y Canadá, así como en Australia y Reino Unido
MADRID, 5 Jul. (Portaltic/EP) – El 'ransomware' REvil ha utilizado una vulnerabilidad de la cadena de suministro de la empresa de software de servicios de TI Kaseya para atacar durante este fin de semana a 350 organizaciones de todo el mundo para extorsionarlas.
El ciberataque, creado por un grupo de cibercriminales conocido también como REvil, explotó el sistema de actualización de la empresa de software de servicios de TI Kaseya para propagar y ocultar el 'ransomware'.
Debido a esto, más de 70 proveedores de servicios gestionados se han visto afectados, con más de 350 organizaciones afectadas en todos el mundo, la mayor parte en Estados Unidos, Alemania y Canadá, pero con otras regiones afectadas como Australia y Reino Unido, como ha informado la compañía de ciberseguridad Sophos en un comunicado.
Mediante la vulnerabilidad en el servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados y a los usuarios empresariales de la versión local de la plataforma de Kaseya.
REvil es un 'ransomware como servicio' (RaaS), suministrado por grupos de agentes afiliados a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado,
En este brote en particular, los agentes de REvil no solo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya sino que, utilizando las excepciones exigidas por el fabricante para los sistemas de protección (C:\Program Files\Kaseya\ y similares), están siendo capaces de desplegar el código ransomware de REvil.
"Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto", ha afirmado Ross McKerchar, vicepresidente y director de Seguridad de Información de Sophos, que cree que "el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual".
Los operadores de REvil publicaron en su blog que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70 millones de dólares en bitcoins.
Basado en la inteligencia de amenazas de Sophos, REvil ha estado activo en las últimas semanas, incluyendo el ataque contra la compañía cárnica estadounidense JBS, y es actualmente la banda de 'ransomware' dominante involucrada en los casos de respuesta a amenazas gestionadas defensivamente de Sophos.