Un nuevo ciberataque de la banda que opera el ransomware conocido como REvil afectó a decenas de compañías en todo el mundo. Su objetivo principal fue un proveedor de herramientas tecnológicas de la ciudad estadounidense de Miami llamado Kaseya.
El ataque a la cadena de suministros es un incidente peligroso. Aunque el objetivo primario fue un proveedor, el ataque puede afectar a todos sus clientes. Ya ocurrió a finales del año pasado con el incidente de SolarWinds, que fue considerado como uno de los ciberataques más graves de la historia.
REvil reivindicó el ataque mediante sus canales informativos oficiales en la web oscura, y Eset, la firma de ciberseguridad que divulgó el incidente, aseguró que los criminales reclamafron más de 70 millones de dólares en rescates, cifra que se reparte entre todas las compañías afectadas. Empresas del Reino Unido, Sudáfrica o Polonia fueron las más golpeadas, aunque también hay organizaciones infectadas en Colombia, los Estados Unidos y España.
Aunque el ataque haya sido reivindicado por los desarrolladores de REvil, su estructura por afiliados hace imposible saber quién es el responsable del incidente. REvil opera como una compañía de ciberataques bajo encargo. Este tipo de colectivos abren nuevas vías para reclutar criminales y captar "clientes" en la web oscura.
Un directivo de Kaseya confirmó a la agencia a Reuters que son conscientes de que el incidente se ha producido, pero no dio más detalles. La agencia también intentó contactar con el colectivo de ciberdelincuentes, pero no ha recibido respuesta.
El ataque podría haber sido ejecutado en la tarde del viernes, y sus efectos se comenzaron a notar de forma inmediata a lo largo de este fin de semana. Eset publicó el sábado su investigación y los datos que había recabado.
Decenas de empresas de una docena de países que usan los servicios de Kaseya tenían sus equipos informáticos inutilizables y paralizados. Por ejemplo, una cadena de supermercados suecos se vio obligada a cerrar sus establecimientos el sábado porque las cajas registradoras dejaron de funcionar a causa del ciberataque.
La administración Biden notificó el domingo que la Casa Blanca se puso en contacto con las organizaciones afectadas por el incidente para proveerles de soporte y apoyo. Entre otras compañías y entidades afectadas se encontraban colegios, agencias públicas y de viajes, y entidades de crédito.
La propia Kaseya informó de un "posible ciberataque" el viernes en un comunicado en el que advertía que podía tratarse de un "sofisticado" incidente que afectaría a un "reducido número" de sus clientes.
El ransomware REvil, también conocido como Sodinokibi, se popularizó durante 2020 después de atacar a un despacho de abogados estadounidense y reivindicar el robo de información sensible de algunos de sus defendidos, como el expresidente Donald Trump o la cantante Madonna.