El 2 de julio de 2021, un usuario de REvil/Sodinokibi explotó múltiples vulnerabilidades en el producto Kaseya VSA para distribuir un cifrador de ransomware a los puntos finales conectados. Es la demanda de rescate más alta de la historia. Un comentario de Charles Carmakal, SVP y CTO, Mandiant.
Kaseya VSA es una solución de gestión y supervisión remota que utilizan los proveedores de servicios gestionados (MSP) y las empresas para gestionar sistemas informáticos de forma remota. Actualmente se desconoce el número de organizaciones afectadas por la interrupción del ransomware REvil, pero Kaseya estima que el número de casos es inferior a 1.500. Muchas de las empresas afectadas son empresas familiares muy pequeñas que, debido al fin de semana festivo en Estados Unidos, se enteraron tarde del impacto.
REvil ransomware como servicio (RaaS)
REvil Ransomware-as-a-Service (RaaS) se ha promocionado en foros clandestinos en idioma ruso desde mayo de 2019. En el modelo de negocio RaaS, un grupo central desarrolla el ransomware, se comunica con las víctimas y opera la infraestructura de back-end. Los socios o grupos afiliados llevan a cabo los ataques y propagan el ransomware. El RaaS es operado por el pirata informático "UNKN" (también conocido como "Desconocido"), que no acepta socios de habla inglesa y no permite que los socios ataquen países de la CEI, incluida Ucrania. Los usuarios conocidos hablan ruso, pero es probable que algunos de los participantes no se encuentren físicamente en Rusia. Después del ataque al Oleoducto Colonial, UNKN se esforzó por reducir los objetivos de los usuarios de REvil e insistió en verificar los objetivos antes de distribuir el ransomware.
REvil exige un rescate de 70 millones de dólares
Charles Carmakal, vicepresidente sénior y director de tecnología, cliente (Imagen: FireEye)
REvil se atribuyó la responsabilidad del ataque de la tarde del 4 de julio y afirmó haber afectado a más de un millón de sistemas. Están exigiendo $ 70 millones por una clave de descifrado universal que se puede usar para desbloquear cualquier sistema afectado. Esta suma exorbitante es la más alta de la historia. En conversaciones privadas, REvil ha reducido proactivamente sus demandas. También se sabe que exageran el alcance y el impacto de sus ataques. Además, REvil aún no ha publicado ningún dato de las infiltraciones. Un método que suelen utilizar para obligar a sus víctimas a pagar. Mientras los delincuentes puedan exigir decenas de millones de dólares en rescate y no se enfrenten a la cárcel, este problema solo empeorará. Estos grupos están bien financiados y altamente motivados, y solo una acción colectiva decidida cambiará el rumbo.
Más en FireEye.com
Acerca de Trellix Trellix es una empresa global que redefine el futuro de la ciberseguridad. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa ayuda a las organizaciones que enfrentan las amenazas más avanzadas de la actualidad a ganar confianza en que sus operaciones están protegidas y son resistentes. Los expertos en seguridad de Trellix, junto con un amplio ecosistema de socios, aceleran la innovación tecnológica a través del aprendizaje automático y la automatización para brindar soporte a más de 40.000 XNUMX clientes empresariales y gubernamentales.