stringtranslate.com

Ataque de ransomware contra Kaseya VSA

El 2 de julio de 2021, varios proveedores de servicios gestionados (MSP) y sus clientes fueron víctimas de un ataque de ransomware perpetrado por el grupo REvil [1] , que provocó tiempos de inactividad generalizados para más de 1000 empresas. [2] [3] El ataque se llevó a cabo explotando una vulnerabilidad en VSA (Virtual System Administrator), un paquete de software de gestión y supervisión remota desarrollado por Kaseya . [4] Se identificaron dos sospechosos y uno de ellos fue condenado. [5] [6]

Cronología e impacto

El 23 de marzo, el investigador del DIVD Wietse Boonstra encontró seis vulnerabilidades de día cero en Kaseya VSA (Virtual Systems Administrator). [7] El DIVD advirtió a Kaseya y trabajó junto con expertos de la compañía para resolver cuatro de las siete vulnerabilidades informadas. Posteriormente, el DIVD escribió un blog detrás de escena sobre KASEYA VSA, sobre cómo encontró las vulnerabilidades de día cero.

A pesar de la advertencia previa de DIVD, Kaseya no corrigió todos los errores informados antes de que REvil los explotara para implementar ransomware. [1] [8] Una vulnerabilidad de omisión de autenticación en el software permitió a los atacantes comprometer VSA y distribuir una carga maliciosa a través de hosts administrados por el software, [9] amplificando el alcance del ataque. [10] En respuesta, la empresa cerró sus servidores en la nube y SaaS de VSA y emitió un aviso de seguridad a todos los clientes, incluidos aquellos con implementaciones locales de VSA. [11]

Los primeros informes de las empresas afectadas por el incidente incluyen al desarrollador de software financiero noruego Visma , que administra algunos sistemas para la cadena de supermercados sueca Coop . [12] La cadena de supermercados tuvo que cerrar sus 800 tiendas durante casi una semana, algunas en pequeñas aldeas sin ninguna otra tienda de alimentos. No pagaron el rescate, sino que reconstruyeron sus sistemas desde cero después de esperar una actualización de Kaseya. [13]

La banda de ransomware REvil se atribuyó oficialmente el ataque y afirmó haber cifrado más de un millón de sistemas durante el incidente. Inicialmente, pidieron un pago de rescate de 70 millones de dólares para liberar un descifrador universal que desbloqueara todos los sistemas afectados. [14] El 5 de julio, Kaseya afirmó que entre 800 y 1.500 empresas de la cadena de suministro se vieron afectadas por el ataque. [15]

Después de una llamada telefónica el 9 de julio de 2021 entre el presidente de Estados Unidos, Joe Biden , y el presidente ruso , Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera que cuando una operación de ransomware provenga de su territorio, incluso si no está patrocinada por el estado, actúen si les damos suficiente información para que actúen sobre quién es". Biden agregó más tarde que Estados Unidos desconectaría los servidores del grupo si Putin no lo hacía. [16] [17]

El 13 de julio de 2021, los sitios web y otras infraestructuras de REvil desaparecieron de Internet. [18]

El 5 de julio de 2021, REvil anunció que lanzaría un descifrador universal a cambio de 70 millones de dólares pagados en Bitcoin . [19] El 23 de julio, Kaseya anunció que había recibido una herramienta de descifrado universal para los archivos cifrados por REvil de un "tercero de confianza" anónimo y que estaba ayudando a las víctimas a restaurar sus archivos. [20]

El 8 de octubre de 2021, el ciudadano ucraniano Yaroslav Vasinskyi fue arrestado en Polonia en relación con el ataque de ransomware, a la espera de su extradición a los Estados Unidos. [5]

El 8 de noviembre de 2021, el Departamento de Justicia de los Estados Unidos hizo públicas las acusaciones contra Yaroslav Vasinskyi, que todavía se encontraba bajo custodia polaca, y otro sospechoso, el ciudadano ruso Yevgeniy Polyanin. Vasinskyi fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluida Kaseya, y se enfrenta a una pena máxima de 115 años de prisión. [5] [21] Polyanin fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluidas empresas y entidades gubernamentales de Texas, y se enfrenta a una pena máxima de 145 años de prisión. [5]

El 3 de marzo de 2022, Yaroslav Vasinskyi fue extraditado a Estados Unidos y procesado en Texas unos días después. [21]

El 1 de mayo de 2024, Yaroslav Vasinskyi fue sentenciado a 13 años y siete meses de prisión y se le ordenó pagar más de 16 millones de dólares en restitución por "su papel en la realización de más de 2.500 ataques de ransomware y la exigencia de más de 700 millones de dólares en pagos de rescate". [6]

Al 23 de junio de 2024, el FBI todavía buscaba a Yevgeniy Polyanin y se creía que vivía en Rusia. [22]

Referencias

Wikinoticias tiene noticias relacionadas:
  • Un ataque de ransomware afecta a más de 200 empresas estadounidenses y obliga a cerrar una cadena de supermercados sueca
  1. ^ ab "Une cyberattaque contre unae société américaine amenaza una multitud de empresas". Le Monde (en francés). 3 de julio de 2021. Archivado desde el original el 11 de noviembre de 2021.
  2. ^ Lily Hay Newman (4 de julio de 2021). "Cómo el ransomware REvil acabó con miles de empresas a la vez". Wired . Archivado desde el original el 10 de noviembre de 2021. Consultado el 12 de noviembre de 2021 .
  3. ^ McMillan, Robert (4 de julio de 2021). "El ataque de ransomware que afecta a miles de objetivos se prolonga". Wall Street Journal . ISSN  0099-9660. Archivado desde el original el 28 de septiembre de 2021 . Consultado el 7 de julio de 2021 .
  4. ^ Osborne, Charlie (23 de julio de 2021). "El ataque del ransomware Kaseya: todo lo que sabemos hasta ahora". ZDNet . Archivado desde el original el 16 de agosto de 2021. Consultado el 12 de noviembre de 2021 .
  5. ^ abcd «Ucraniano arrestado y acusado de ataque de ransomware a Kaseya». Departamento de Justicia de los Estados Unidos . 8 de noviembre de 2021. Archivado desde el original el 11 de noviembre de 2021. Consultado el 12 de noviembre de 2021 .
  6. ^ ab "Sodinokibi/REvil Affiliate Sentenced for Role in $700M Ransomware Scheme". Oficina de Asuntos Públicos, Departamento de Justicia de los Estados Unidos. 2024-05-01 . Consultado el 2024-06-23 .
  7. ^ Boonstra, Wietse. "Informe DIVD-2021-00002 - KASEYA VSA". DIVD .
  8. ^ "La falla no corregida en el corazón de la ola de ransomware de REvil". Wired . 8 de julio de 2021 . Consultado el 7 de abril de 2022 .
  9. ^ Hammond, John. "Respuesta rápida: incidente masivo de ransomware en MSP". Huntress . Archivado desde el original el 2021-10-26 . Consultado el 2021-07-24 .
  10. ^ Gerrit De Vynck; Aaron Gregg; Rachel Lerman (6 de julio de 2021). "El ataque de ransomware afectó a entre 800 y 1500 empresas, dice la empresa en el centro del ataque: el software de Kaseya afecta a cientos de miles de empresas, pero la empresa dice que la gran mayoría no se vio afectada". The Washington Post . Consultado el 6 de julio de 2021 .
  11. ^ Giles, Martin (3 de julio de 2021). "Una nueva ola de ransomware se ha desencadenado a raíz de un ciberataque al proveedor de tecnología Kaseya". Forbes . Archivado desde el original el 23 de septiembre de 2021.
  12. ^ Tidy, Joe (3 de julio de 2021). «Los supermercados suecos Coop cierran debido a un ciberataque de ransomware estadounidense». BBC News . Archivado desde el original el 5 de octubre de 2021.
  13. ^ Greig, Jonathan (26 de julio de 2021). «Kaseya niega haber pagado un rescate por el descifrador y se niega a hacer comentarios sobre el acuerdo de confidencialidad». ZDNet . Archivado desde el original el 3 de octubre de 2021. Consultado el 12 de noviembre de 2021 .
  14. ^ Tung, Liam (5 de julio de 2021). "Ataque de ransomware a Kaseya: Estados Unidos inicia una investigación mientras una banda exige un pago gigantesco de 70 millones de dólares". ZDNet . Archivado desde el original el 9 de octubre de 2021.
  15. ^ Satter, Raphael (5 de julio de 2021). "Hasta 1.500 empresas afectadas por un ataque de ransomware, según el director ejecutivo de una empresa estadounidense". Reuters . Archivado desde el original el 11 de noviembre de 2021.
  16. ^ "Biden le dice a Putin que Rusia debe tomar medidas enérgicas contra los cibercriminales". AP NEWS . 9 de julio de 2021.
  17. ^ Sanger, David E. (13 de julio de 2021). "El grupo de ransomware más agresivo de Rusia desapareció. No está claro quién lo desactivó". The New York Times .
  18. ^ Business, Brian Fung, Zachary Cohen y Geneva Sands, CNN (13 de julio de 2021). "La banda de ransomware que atacó a un proveedor de carne desaparece misteriosamente de Internet". CNN . {{cite web}}: |last=tiene nombre genérico ( ayuda )Mantenimiento de CS1: varios nombres: lista de autores ( enlace )
  19. ^ "La banda detrás de un enorme ciberataque exige 70 millones de dólares en bitcoins". 2021-07-05 . Consultado el 2024-08-19 .
  20. ^ "La clave del ransomware para desbloquear los datos de los clientes del ataque REvil". BBC News . BBC . 23 de julio de 2021 . Consultado el 23 de julio de 2021 .
  21. ^ ab "El acusado de ransomware Sodinokibi/REvil fue extraditado a Estados Unidos y procesado en Texas". Oficina de Asuntos Públicos, Departamento de Justicia de los Estados Unidos. 2022-03-09 . Consultado el 2024-06-23 .
  22. ^ "YEVGENIY IGOREVICH POLIANINA". FBI. 2024-06-23 . Consultado el 23 de junio de 2024 .