Cientos de empresas –en su mayoría estadounidenses– de todo el mundo se han visto afectadas por un ataque ransomware inusualmente sofisticado que se introdujo el pasado viernes en el proveedor tecnológico Kaseya, con sede en Miami, para después ir expandiéndose por distintos clientes y compañías usuarias. El grupo que se encuentra detrás de este incidente parece el vinculado a Rusia, REvil, y ha pedido un rescate de 70 millones de dólares a estas organizaciones para restaurar los datos que han sido cifrados y robados.
Los ciberdelincuentes pudieron entrar en el software Kaseya cambiando una herramienta llamada VSA, utilizada ampliamente por empresas que administran tecnología en firmas más pequeñas, para cifrar los archivos de sus clientes de forma simultánea. Por el momento, las primeras reacciones de expertos del sector pasan por tachar el incidente de “colosal y devastador a la cadena de suministro”. Dentro de esta red cibercriminal, destaca el caso de la cadena de supermercados sueca Swedish Coop, que tuvo que cerrar sus tiendas el sábado porque sus cajas registradoras se habían desconectado como consecuencia del ataque.
“A medida que surgen noticias de que REvil ahora exige un total de $70 millones de dólares en pago de ransomware, podemos esperar que el debate se centre una vez más en la cuestión de si las demandas de rescate deben cumplirse o no. Esto es inevitable inmediatamente después, pero debemos centrar nuestra atención urgentemente en cómo evitar que los ataques se conviertan en crisis y antes de que se exija el rescate”, expresó Max Heimeneyer, director de Detección de Amenazas en Darktrace.
Agregó: “Este tipo de ataques a la cadena de suministro de software pueden extenderse como la pólvora y son prácticamente imposibles de detectar con las herramientas de seguridad tradicionales porque el proveedor de confianza, pero comprometido, ya está dentro. El efecto de goteo de este ataque indudablemente producirá más víctimas que las que se nombran actualmente, e incluso afectará a organizaciones que no tienen una relación directa con Kaseya. El amplio impacto que tienen estos ataques también significa que es mucho más probable que se reproduzcan”.
Los ataques a la cadena de suministro se han convertido en una de las principales amenazas del panorama actual de la ciberseguridad, más tras el precedente de SolarWinds, un caso similar por el que los malos llegaron a introducirse en varias administraciones públicas de Estados Unidos y que ha sido catalogado como uno de los ciberataques más importantes de la historia.
La gravedad del suceso ha obligado a actuar al presidente estadounidense, Joe Biden, quien el pasado sábado ordenó a las agencias de inteligencia del país que investigara lo sucedido. Y, aunque no ha querido aseverar que sea Rusia quien está detrás del suceso, de confirmarse, “responderemos”.
