El ciberataque contra la empresa estadounidense Kaseya, que ofrece herramientas de gestión de tecnología de información (TI), afectó a más de 1.000 empresas y obligó a cerrar unas 800 tiendas de una cadena de supermercados en Suecia.
Por el momento es difícil estimar el alcance real del ataque con “ransomware”, un tipo de programa que explota las fallas de seguridad informáticas de una empresa o individuo, paralizando sus sistemas para exigir una recompensa a cambio del desbloqueo.
Una de las principales cadenas de supermercados de Suecia anunció este sábado el cierre temporal de prácticamente todas sus 800 tiendas tras un ciberataque que paralizó sus cajas, y que según una filial sueca del grupo Visma afirmó que el problema estaba vinculado al ataque contra Kaseya.
Por su lado, Kaseya, que calificó de “sofisticado” al ciberataque, del que había dado cuenta el viernes, diciendo que alcanzó a un “porcentaje muy pequeño” de sus clientes, los que no obstante también prestan servicios a otras empresas, a las que los piratas informáticos pudieron llegar para exigir un rescate.
La compañía explicó que se percató del ataque contra su software VSA al mediodía del viernes (hora este de EEUU), justo antes de un fin de semana largo por el Día de la Independencia.
Con sede en Miami, Kaseya, que afirma contar con más de 40.000 clientes, ofrece herramientas de TI a pequeñas y medianas empresas, incluyendo el software VSA para administrar la red de servidores, computadoras e impresoras desde una sola fuente.
Las autoridades observan
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) anunció que estaba “tomando medidas para comprender y abordar el reciente ataque de ransomware” contra Kaseya y las firmas que utilizan su software.
CISA “monitorea de cerca la situación”, señaló su director de ciberseguridad, Eric Goldstein.
“Estamos trabajando con Kaseya y coordinando con el FBI (policía federal) para dar con las víctimas” del ransomware, agregó en un mensaje enviado a AFP.
Los ataques de ransomware se han vuelto frecuentes y Estados Unidos se ha visto particularmente afectado en los últimos meses por operaciones que afectaron a grandes empresas como el gigante cárnico JBS y el operador de oleoductos Colonial Pipeline, así como a comunidades y hospitales locales.
Pero, por lo general, “los ciberdelincuentes operan negocio por negocio”, recordó Gérôme Billois, experto en ciberseguridad de la consultora Wavestone.
“En este caso, atacaron a una empresa que proporciona software de gestión de sistemas informáticos, lo que les permite llegar simultáneamente a varias decenas o incluso cientos de empresas”, explicó.
No está claro el auténtico alcance de este ciberataque y aunque Kaseya pidió a sus clientes que apagaran los servidores que alojan su software, no puede saber los sistemas se apagaron “voluntariamente o por la fuerza”, detalló Billois.
Cola para pagar
La naturaleza del ataque es similar al que sufrió el editor de software SolarWinds, que afectó a organizaciones gubernamentales y empresas de Estados Unidos a fines de 2020.
Excepto que este último, atribuido por Washington a los servicios secretos rusos, fue más bien “con una lógica de espionaje, mientras que nosotros estamos aquí en una lógica de extorsión”, subrayó Billois.
Huntress Labs aseguró que, en base a los métodos utilizados, el tipo de ransomware y la dirección de Internet proporcionada, los piratas informáticos integran el grupo de hackers conocido como Revil o Sodinokibin.
A principios de junio, el FBI atribuyó el ataque informático contra JBS a este grupo.
El ciberataque contra Kaseya es “uno de los más importantes y vastos que ya he visto en mi carrera”, dijo Alfred Saikali, del bufete de abogados Shook, Hardy & Bacon, acostumbrado a lidiar con este tipo de situaciones. “Nunca había visto tantas empresas contactarnos en un solo día por un ataque de este tipo”, declaró a la AFP.
En general, se recomienda no pagar el rescate, enfatizó. Pero a veces, especialmente cuando no se puede hacer una copia de seguridad de los datos, “no hay otra opción”, admitió.
Si varias empresas optan por pagar, no es seguro que el grupo de hackers “tenga la capacidad de gestionar conversaciones simultáneas”, apuntó Brett Callow, de la empresa especializada en ciberseguridad Emsisoft.
“Si tienen que hacer cola para negociar, el tiempo perdido puede resultar muy caro”, afirmó.