Hackers piden 70 millones en Bitcoin ¿Qué es Kaseya y porque ahora es una amenaza a empresas de todo el mundo?

  • ACTUALIZACON : 6:50AM Lunes 6 Julio
    Un grupo de hackers de habla rusa se atribuyó la responsabilidad de un ataque masivo de ransomware durante el fin de semana festivo que afectó a 200 empresas estadounidenses y cientos más en todo el mundo, y el grupo exigió $ 70 millones en bitcoins para restaurar los datos de las empresas en el último ciberataque debilitante que se produjo Estados Unidos este año.
  • El rescate se publicó el domingo en un blog comúnmente utilizado por REvil, un importante grupo de ransomware de habla rusa que recientemente extorsionó $ 11 millones del procesador de carne más grande del mundo, JBS, después de acabar con una quinta parte de la producción de carne de EE. UU.  
  • El grupo se atribuyó la responsabilidad de un ataque de ransomware, mediante el cual los piratas informáticos cifran los datos de un usuario y exigen dinero por la clave necesaria para descifrarlos, ejecutado el viernes, que según dice ha afectado a más de 1 millón de sistemas informáticos.

El mundo apenas se recupera de los días que mantuvieron en vilo a Estados Unidos, tras los ataques de ransomware que acabaron con la seguridad Colonia Pipeline un importante gasoducto y bloquearon todas las plantas de carne de res de JBS en los EE. UU.

Pues para no dormir tranquilos, ha surgido un nuevo asalto, esta vez golpeando a una empresa con sede en Miami que proporciona herramientas de gestión tecnológica a organizaciones de todo el mundo.

¿Quién es Kaseya y su herramienta VSA?
Kaseya tiene un producto llamado VSA, que, entre otras cosas, permite a las pequeñas y medianas empresas monitorear sus sistemas informáticos de forma remota y encargarse automáticamente del mantenimiento de rutina del servidor y las actualizaciones de seguridad.

¿Qué ha ocurrido? Lo que dice la empresa
Entre el viernes 2 y el sábado 3, la empresa emitió un comunicado en su sitio web, donde informaba “Desafortunadamente, el producto VSA de Kaseya ha sido víctima de un sofisticado ciberataque. Debido a la rápida respuesta de nuestros equipos, creemos que esto se ha localizado solo para un número muy pequeño de clientes locales”

¿Qué ha ocurrido? La realidad
La realidad es que el asunto paso de docenas a cientos a miles de empresas, incluida una cadena de ferrocarriles, farmacias y cadenas de supermercados en Suecia, se han visto afectadas por el ataque a la empresa de software Kaseya.

¿Cuál es la recomendación de la empresa?
Puntos clave sobre el estado actual:

  • Todos los servidores VSA locales deben permanecer fuera de línea hasta que Kaseya reciba más instrucciones sobre cuándo es seguro restaurar las operaciones. Será necesario instalar un parche antes de reiniciar el VSA. Planeamos dar nuestra primera estimación de tiempo en la actualización de mañana por la mañana aproximadamente a las 9:00 AM EDT.
  • Los servidores SaaS y VSA alojados estarán operativos una vez que Kaseya haya determinado que podemos restaurar las operaciones de forma segura.
  • Nuestros expertos externos nos han informado que los clientes que experimentaron ransomware y reciben comunicaciones de los atacantes no deben hacer clic en ningún enlace, ya que pueden estar armados.
  • Una herramienta de detección de compromiso estará disponible más tarde esta noche para los clientes de Kaseya VSA enviando un correo electrónico a [email protected] con el asunto “Solicitud de herramienta de detección de compromiso” desde una dirección de correo electrónico asociada con un cliente de VSA.
  • Con la disponibilidad de la herramienta de detección de compromisos, recomendamos encarecidamente que los clientes comprometidos comiencen inmediatamente el proceso de recuperación.
  • Fred Voccola, CEO de Kaseya, será entrevistado sobre este incidente en Good Morning America en la cadena ABC el domingo 4 de julio. Consulte los listados de televisión locales para conocer los horarios en su región. (Esto está sujeto a reprogramaciones de última hora por parte de la red)
  • Los ejecutivos de Kaseya se están comunicando directamente con los clientes afectados para comprender sus situaciones y qué tipo de asistencia es posible. Si cree que se ha visto afectado, comuníquese con [email protected] con el asunto “Informe de incidente de seguridad”. Solo ha habido un nuevo informe de un compromiso que se produjo hoy debido a que se dejó encendido un servidor local de VSA. Estamos seguros de que comprendemos el alcance del problema y nos asociamos con cada cliente para hacer todo lo posible por remediarlo. Creemos que en este momento no existe ningún riesgo relacionado para cualquier cliente de VSA que sea un cliente de SaaS o un cliente de VSA local que tenga su servidor apagado.
  • Hemos contratado a una empresa de respuesta a incidentes informáticos (FireEye Mandiant IR) para identificar los indicadores de compromiso (IoC) para garantizar que podamos identificar a qué sistemas y datos se accedió. Hemos identificado un conjunto de IoC preliminares y hemos estado trabajando con nuestros clientes afectados para validarlos. La disponibilidad de la herramienta de detección de compromisos se basa en nuestras interacciones con nuestros expertos externos.

Deja una respuesta