Saltar al contenido
Cosas Tecnológicas

Kaseya obtiene un descifrador maestro para ayudar a los clientes que aún sufren ataques REvil

Kaseya, un proveedor de software de administración remota en el centro de operaciones de ransomware, atacó hasta 1.500 redes descendentes. Afirmó que había obtenido un descifrador y podía recuperar con éxito los datos cifrados durante el ataque del fin de semana del 4 de julio.

REvil es una de las organizaciones de ransomware más brutales de Internet, y sus afiliadas explotaron una vulnerabilidad crítica de día cero en el producto de administración remota VSA de Kaseya en Miami, Florida. La vulnerabilidad (a Kaseya todavía le faltan unos días para corregir la vulnerabilidad) permite a los operadores de ransomware comprometer las redes de aproximadamente 60 clientes. A partir de ahí, los chantajistas infectaron hasta 1.500 redes que dependen de 60 clientes para los servicios.

Finalmente, un descifrador universal

“Ayer obtuvimos el descifrador de un tercero de confianza y lo usamos con éxito para los clientes afectados”, escribió Dana Liedholm, vicepresidente senior de marketing corporativo, en un correo electrónico el jueves por la mañana. “Estamos brindando soporte técnico para el uso de descifradores. Tenemos un equipo para contactar a nuestros clientes y no tengo más detalles ahora”.

En un mensaje privado, Brett Callow, analista de amenazas de la empresa de seguridad Emsisoft, dijo: “Estamos trabajando con Kaseya para apoyar a sus clientes en su trabajo. Hemos confirmado que la clave puede desbloquear víctimas de manera efectiva y continuaremos proporcionando a Kaseya y soporte a sus clientes “.

REvil solicitó un descifrador universal por valor de hasta $ 70 millones para recuperar los datos de todas las organizaciones dañadas en un ataque a gran escala. Liedholm se negó a decir si Kaseya pagó dinero a cambio de herramientas de descifrado. Desde entonces, Kaseya parcheó la vulnerabilidad de día cero utilizada en el ataque.

Actualmente, no se sabe si Kaseya pagará el rescate o lo recibirá gratis de REvil, agencias de aplicación de la ley o empresas de seguridad privada.

En los días posteriores al ataque, el sitio web oscuro de REvil y otra infraestructura utilizada por la organización para brindar soporte técnico y procesar pagos se desconectaron repentinamente. El retiro inexplicable hace que las víctimas y los investigadores se preocupen de que los datos se bloqueen para siempre, porque la única persona capaz de descifrarlos ha desaparecido.

¿De dónde vino?

REvil es una de varias organizaciones de ransomware que se cree que operan fuera de Rusia u otros países de Europa del Este que antes formaban parte de la Unión Soviética. Hace unos días, el presidente Joe Biden advirtió al presidente ruso Vladimir Putin que si Rusia no controla estas organizaciones de ransomware, Estados Unidos puede tomar acciones unilaterales contra ellas y la organización desaparecerá.

Desde entonces, los observadores han especulado que Putin presionó a la organización para mantenerla en silencio o que la organización estaba molesta por toda la atención que recibió del ataque y decidió hacerlo por su cuenta.

Algunas de las empresas atacadas incluyen la cadena de supermercados sueca COOP, Virginia Tech, dos ciudades en Maryland, escuelas de Nueva Zelanda y la empresa textil internacional Miroglio Group.

REvil también está detrás del serio ataque contra JBS, el mayor productor de carne del mundo. La vulnerabilidad provocó que JBS cerrara temporalmente algunas fábricas.