La noticia saltaba este mismo fin de semana, el día 2 de julio. Kaseya, una compañía de software especializada en soluciones y productos para empresas que necesitan servicios IT en remoto, sufría un ciberataque de ransomware. Dado que Kaseya está conectada otras empresas (a las que ofrece su servicio), se cree que entre 800 y 1.500 empresas podrían haber sido alcanzadas y que alrededor de 60 han sido afectadas directamente.
Dado el alcance de Kaseya y sus servicios, se cree que es uno de los mayores ataques de ransomware que se han registrado. A continuación repasamos todo lo que se sabe hasta el momento y todo lo que ha confirmado la compañía.
Cronología del ataque a Kaseya
Todo comienza el viernes, 2 de julio, a las 22:00 hora española. Kaseya publica en su web un aviso en el que aseguran estar investigando un "ataque potencial contra el [servicio] VSA que indica que se ha limitado a un pequeño número de nuestros clientes locales únicamente". Cerraron los servidores SaaS y notificaron el problema a los clientes para que apagaran los servidores VSA. Un VSA, grosso modo, es un software de gestión de IT.
Poco más tarde, la empresa confirmó haber desplegado al equipo interno de respuesta a incidente y haber contratado a "los principales expertos de la industria en investigaciones forenses" para determinar el origen del problema. También notificaron a las agencias pertinentes, incluyendo el FBI y CISA.
Eran las 4:00, hora española. En ese momento, Kaseya afirmaba que los primeros indicadores sugerían que solo un número muy pequeño de clientes locales habían sido afectados. Estimaban que unos 40, que no son pocos aunque son muchos menos que los más de 36.000 clientes que Kaseya tiene en su haber. "Creemos que hemos identificado la fuente de la vulnerabilidad y estamos preparando un parche para mitigarla para nuestros clientes locales que se probará a fondo", aseguraba la empresa.
Y llegó el momento. 3 de julio, 16:30 hora local española. Kaseya cofirma haber sido víctima de un "sofisticado ciberataque". Aunque seguían haciendo hincapié en que solo habían sido afectados unos cuantos clientes locales, la firma seguía recomendando que los servidores VSA se mantuvieran inactivos y, de paso, advertían a los clientes que hubieran recibido una comunicación de los atacantes que no hicieran clic en ningún enlace.
VSA.
Más tarde, a eso de las 3:00 del 4 de julio en España, Kaseya confirmó estar desarrollando una herramienta de detección (que se implementaría más tarde y que sería solicitada por 900 clientes). El departamento de I+D replicó el vector de ataque y comenzó a corregir el código, algo que, decían, les llevaría 24 o 48 horas. El 4 de julio, Fred Voccola, CEO de la empresa, fue entrevistado en Good Morning America y, en pocas palabras, dijo "Estamos seguros de que sabemos cómo sucedió y lo estamos remediando".
Al día siguiente, 5 de julio, a las 2:00 hora peninsular española, se reunió el comité ejecutivo de la empresa para abordar el problema y determinar las soluciones. Esta es la última información oficial que tenemos por parte de la empresa:
"Hasta la fecha, tenemos conocimiento de menos de 60 clientes de Kaseya, todos los cuales usaban el producto local de VSA, que se vieron directamente comprometidos por este ataque. Si bien muchos de estos clientes brindan servicios de TI a muchas otras empresas, entendemos que el impacto total hasta ahora ha sido en menos de 1.500 empresas posteriores".
Aseguran que VSA ha sido el único producto afectado, que el parche para clientes se ha desarrollado y se encuentra en proceso de validación y que la estimación actual de volver a poner en línea los servidores SaaS es para el 6 de julio (hoy), aunque todavía no tienen clara la fecha. Hasta el momento, más de 2.000 clientes han descargado la herramienta de detección que mencionábamos antes.
¿Y quién está detrás?
Esto es todo lo que la empresa ha desvelado hasta el momento, pero hay más. De acuerdo a ESET, el ataque se llevó a cabo mediante la explotación de una vulnerabilidad zero-day (CVE-2021-30116) que se estaba reparando. Entre las entidades afectadas hay una cadena de supermercados en Suecia y al menos 11 escuelas en Nueva Zelanda. Según ESET, hay clientes afectados en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.
La cosa es que Kaseya no ha mencionado quién está detrás del ataque, pero unos hackers han reclamado la autoría del mismo y piden un rescate de 70 millones de dólares en Bitcoin. Seguramente la historia resulte familiar, porque fue lo mismo que le pasó a Acer en marzo. ¿Quiénes son estos hackers? REvil, que también atacó Adif en 2020.
En una publicación en su blog oficial, REvil afirma haber bloqueado más de un millón de sistemas y las redes de al menos mil empresas en todo el mundo. Tal y como explican en Bleeping Computer, REvil ha usado diferentes extensiones para encriptar los archivos y pide hasta 44.999 dólares para desbloquear los archivos encriptados con cada extensión. Para desbloquear varias extensiones han llegado a pedir 500.000 dólares.
Rescate solicitado por REvil.
Un representante de los hackers ha dicho a Reuters que "siempre estamos dispuestos a negociar", pero Voccola, CEO de la empresa, ha dicho que "no puedo comentar 'sí', 'no' o 'tal vez'" y que "no hay comentarios sobre nada que tenga que ver con negocios con terroristas de ninguna manera".
CISA y el FBI, por su parte, han compartido una guía para las víctimas del ataque, aunque reconocen que "debido a la escala potencial de este incidente, es posible que el FBI y CISA no puedan responder a cada víctima individualmente, pero toda la información que recibamos será útil para contrarrestar esta amenaza". Por el momento el problema persiste y habrá que cómo termina.
Ver 21 comentarios
21 comentarios
p2dzca
Es 'curioso' el lenguaje que utilizan los departamentos de comunicación de las empresas cuando son 'hackeadas'.
Dicen "Hemos sido víctimas de un sofisticado ciberataque", cuando, en realidad, lo que ha ocurrido es "Hemos sido víctimas de una vulnerabilidad en nuestro código".
Posteriormente dejaron claro que se trataba de una vulnerabilidad que iban a corregir, pero en el último mensaje volvieron a poner la carga en el exterior: "...que se vieron directamente comprometidos por este ataque". Las realidad es "...que se vieron directamente comprometidos por nuestra vulnerabilidad en el código".
Es cierto que para que sucediese lo que pasó es necesaria la intervención de los criminales, y espero que los encuentren y paguen por lo que hicieron. Pero las empresas atacadas también son responsables de lo sucedido y, en cambio, suelen expresar sus comunicados en términos de exculpación. No es admisible.
ocanasado
Tal fácil como prohibir las criptomonedas y que pidan los rescates en cromos del Coyote.
JNeox
De película. . . . . no entiendo porqué holywood sigue con sus superheroes en vez de lanzar tremendas historias.
pos_soy_yo
Mucho ataque últimamente...
rzcool
Buenas.
El problema es que para hacer algun software lo primero es que funcione y luego que esta terminado se añade el resto.
De esta forma se dejan muchas cosas sin hacer y luego las prisas de los que ponen la pasta, que estan impacientes por empezar ya, hace que no se testee y se revise como dios manda.
Hay algunos malos programadores pero muchos malos inversores.
skanskan_1
Se nos están yendo de las manos los ataques de hackers y virus.
Parece que hayamos evolucionado nada en seguridad.
eltamagochi
¡Ya lo han solucionado! Han determinado que tu contraseña no es segura, y que tienes que meterle más números y más mayúsculas.
t_r_a
jopeta, que le den toda la informacion al github copilot este, que seguro que la IA es capaz de escribir un programa para bloquear los ataques
guillermojimenez2
Desagradamente con esos virus que nos han negociado para los que tienen pasta $ ,,..
Es asi se les aprovechan a los riquezas, por que es mas ToNTu se creen a los TINTUX , estan caidos, no se puede dar la marcha atras. Lo que tienen que hacer es rectificar a todos con CHIP DNI y con VPN obligatoria protocologamente seriedad para los trabajos bancarios,... no se puede seguir comprando caprichos "Rasomware" que no les deben entrar.
Veo que los bancarios son muy NOVATOS.
simongalache
Ni al Hacker más tonto se le ocurriría pedir un rescate en Bitcoin.
Este, como los anteriores "ataques" con rescates en Bitcoin, son eso,
ataques pero De Falsa Bandera.
Bitcoin es TOTALMENTE rastreable, y por tanto totalmente inútil, los
hackers, si fueran reales, pedirían el rescate en Monero, la criptomoneda
realmente 100% irrastreable.
Pero el gran publico desconoce esta criptomoneda pero casi todos han
oido hablar de Bitcoin.
Por esto, este ciber "ataque" como todos los anteriores con rescate en
Bitcoin, son Falsos.
Y este articulo como todo el seguimiento mediatico tendencioso.
Son simplemente un excusa para desprestigiar a Bitcoin con el objeto de
argumentar que Bitcoin es usado por delincuentes y su almacenamiento
no controlado, fuera de instituciones fácilmente vigilables debe ser prohibido.
simongalache
Ni al Hacker más tonto se le ocurriría pedir un rescate en Bitcoin.
Este, como los anteriores "ataques" con rescates en Bitcoin, son eso,
ataques pero De Falsa Bandera.
Bitcoin es TOTALMENTE rastreable, y por tanto totalmente inútil, los
hackers, si fueran reales, pedirían el rescate en Monero, la criptomoneda
realmente 100% irrastreable.
Pero el gran publico desconoce esta criptomoneda pero casi todos han
oido hablar de Bitcoin.
Por esto, este ciber "ataque" como todos los anteriores con rescate en
Bitcoin, son Falsos.
Y este articulo, como todo el seguimiento mediático tendencioso.
Son simplemente un excusa para desprestigiar a Bitcoin con el objeto de
argumentar que Bitcoin es usado por delincuentes y su almacenamiento
no controlado, fuera de instituciones fácilmente vigilables debe ser prohibido.
TOVI
Ya estaban preparando la solicitud del rescate en bitcoins.
ScrumMaster
Nada es gratis en este mundo, tener ignorantes no ingenieros haciendo "informática" significa precisamente esto, ¿la gente aún se cree que cualquiera puede programar?, en fin ni aún poniendo a una AI, pueden sustituir código bien hecho y seguro, eso se paga y es con ingenieros o asegurate que tienen las bases de código a bajo nivel, si no caeras bien fácil.
Creo que algunos piensan que este mundo es para tener a pica códigos y pagar malos sueldos y decir que no sirve de nada estudiar ciencias de la computación, en fin, esté es el mundo de internet o sabes ciencia de la computación o no eres nadie.