REvil: El ransomware ataca con virulencia en 2021

Lo dicen los expertos de seguridad y lo constatan los últimos ataques registrados a nivel mundial. El ransomware es una de las principales amenazas a las que se enfrentan las empresas, independientemente de su tamaño, actividad o localización.

El ejemplo más reciente es el de REvil, también conocido como Sodinokibi, un ransomware que a principios de mes protagonizó un ataque masivo a unas 1500 compañías de los cinco continentes, incluida alguna con sede en España. La acción terminó con más un millón de sistemas comprometidos.

Lo hizo a través de un ataque a la cadena de suministro. Para llegar a tal magnitud, aprovechó un instalador de una actualización automática del software de gestión de Kaseya, que facilita los servicios de TI en remoto, con permisos de administrador. Este software es utilizado por proveedores de servicios gestionados. El ataque explotó una vulnerabilidad zero-day que estaba en proceso de reparación.

Además de los proveedores, se vieron afectados los sistemas de los clientes que utilizan la herramienta y de los que reciben los servicios. Son empresas de la naturaleza más variopinta, como una serie de supermercados en Suecia o escuelas de Nueva Zelanda. Cabe destacar que Kaseya cuenta con más de 40 000 clientes a nivel global.

Aunque Kaseya recomendó cerrar los servidores VSA de manera inmediata hasta la publicación de un parche que solucionase la vulnerabilidad, para muchas compañías fue tarde. El ransomware había cifrado su información y solicitado los pertinentes rescates.

La cifra de pago solicitada ha ido variando según el caso. En un principio las pretensiones de los atacantes oscilaron entre los 45 000 y los 5 millones de dólares. Luego pidieron a cambio de la liberación de un descifrador 70 millones, cifra que acabaron rebajado hasta los 50 millones.

Un informe de Unit 42 de Palo Alto Networks desvela que el pago medio en los casos de REvil este año, más allá de Kaseya, fue de unos 2,25 millones de dólares. El pago más grande ha sido de 11 millones de dólares.

“Los ataques de cadena de suministro suponen un serio problema para corporaciones y organizaciones, ya que se tiende a confiar ciegamente en todo lo que provenga de empresas encargadas de proporcionar software y servicios de todo tipo”, valora Josep Albors, director de Investigación y Concienciación de ESET España, sobre este incidente.

Albors cree que “la reducción del rescate podría deberse a que los atacantes quieran obtener el dinero lo antes posible y ofrecer el descifrado para no seguir llamando la atención de algunas autoridades como las de los Estados Unidos”.

Lavi Lazarovitz, director sénior de investigación cibernética de CyberArk Labs, encuentra similitudes con la campaña Cloud Hopper, “un ataque de phishing en el endpoint” que “llegó a afectar a cientos de empresas que tenían relación con proveedores de nube vulnerados”.

“Para los atacantes, se trata de capitalizar la descentralización y la conectividad de la red”, señala Lazarovitz, “porque esto equivale a escala e impacto”.

“Lo más importante es que, en el incidente de Kaseya, los atacantes se centran en comprometer el software de confianza, los procesos de confianza y las relaciones de confianza. Dirigirse a servicios de confianza permite a los ciberdelincuentes aprovechar tanto los permisos como los accesos otorgados”, destaca.

“En el caso de un MSP, controlar los derechos de administrador significa que los atacantes pueden alcanzar un ataque a gran escala, probablemente en cientos de clientes”, continúa el experto. Por eso “monitorizar y proteger este acceso de administrador, o privilegiado, es fundamental para identificar y mitigar el riesgo de movimiento lateral y un mayor compromiso de la red”.

Un viejo conocido

Esta no es la primera vez que REvil causa estragos. Desde Palo Alto Networks recuerdan que el grupo se detectó en 2018, cuando trabajaba con GandCrab. En ese momento distribuía ransomware a través de publicidad maliciosa y kits de explotación.

Con el tiempo ha crecido y ha acabado convirtiéndose en uno de los operadores de ransomware-as-a-service más famosos y rentables. Ahora extrae grandes conjuntos de datos y exige rescates multimillonarios. Cuando sus víctimas no pagan, REvil publica la información robada en Happy Blog, su propia web de filtraciones.