"Basado en una combinación de los proveedores de servicios que nos solicitan ayuda junto con los comentarios que estamos viendo en el hilo que estamos rastreando en nuestro Reddit, es razonable pensar que esto podría afectar potencialmente a miles de pequeñas empresas", según John Hammond, investigador de ciberseguridad en Huntress Labs. (...)".
Claves informáticas
REvil es un conocido proveedor de ransomware, software malicioso que bloquea la computadora de la víctima hasta que se paga un rescate digital, generalmente en forma de bitcoin.
Este ataque parece ser el más grande de la historia. El incidente puede haber infectado hasta 40.000 computadoras en todo el mundo, según expertos en ciberseguridad.
REvil (Ransomware Evil o Sodinokibi) recluta afiliados para distribuir el ransomware por ellos. Ransomware es un tipo de malware o virus malicioso que amenaza con publicar los datos personales de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate.
Como parte de su acuerdo, los afiliados y los desarrolladores de ransomware dividen los ingresos generados por los pagos de rescate. Es difícil precisar la ubicación exacta de REvil, pero se cree que tienen su sede en Rusia.
El código de ransomware utilizado por REvil se parece al código utilizado por DarkSide, otro grupo de piratería. Algunos sospechan que DarkSide es un socio de REvil. Ambos utilizan notas de rescate estructuradas de manera similar y el mismo código para comprobar que la víctima no se encuentra en un país de la Comunidad de Estados Independientes (CEI), que lidera Rusia.
Los expertos en ciberseguridad creen que REvil fue creada en base a la exciberbanda GandCrab: REvil se activó por primera vez después del cierre de GandCrab, y ambos ransomware comparten una cantidad significativa de código.
Muy masivo
Entre los afectados se encontraba una cadena de supermercados en Suecia. La compañía dijo que en algunos casos sus cajas registradoras se vieron afectadas por el ataque, lo que provocó que muchas de sus tiendas permanecieran cerradas el sábado.
Robert McMillan en The Wall Street Journal: "(...) La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional aconsejó a los usuarios de Kaseya que apagaran sus servidores VSA de inmediato. "CISA está monitoreando de cerca esta situación y estamos trabajando con el FBI para recopilar información sobre su impacto", dijo Eric Goldstein, director asistente ejecutivo de ciberseguridad de la agencia.
Kaseya dice que menos de 40 de sus más de 36.000 clientes se vieron afectados por el incidente. Sin embargo, más de 30 de estos clientes eran proveedores de servicios, dijo una portavoz de la compañía. Esos proveedores, a su vez, tienen muchos más clientes que podrían haber sido potencialmente afectados. (...)
"Nunca había visto un ataque de ransomware que afectara a tantas empresas a la vez", dijo Al Saikali, socio del bufete de abogados Shook, Hardy & Bacon LLP, que fue contratado para consultar sobre 6 ataques de ransomware relacionados con el incidente de VSA el viernes.
En la vez anterior, él explicó, lo habían contratado 2 clientes. Las demandas de rescate en los 6 ataques oscilaron entre US$ 25.000 y US$ 150.000, dijo. Para los propios proveedores de servicios, las demandas son mayores: en un caso, US$ 5 millones, dijo Hanslovan."
