La banda rusa de ciber criminales REvil ha conseguido hackear más de 1.500 compañías a través de un ataque a la plataforma de gestión remota VSA de la empresa de software estadounidense Kaseya. Están aprovechando un fallo de seguridad en el servicio de impresión de Windows para adueñarse de los sistemas. El ataque comenzó el pasado viernes 2 de julio y cuando han alcanzado una cantidad suficiente de equipos secuestrados, han lanzado un mensaje pidiendo 70 millones de dólares por el rescate.
¿Cómo actúa REvil?
REvil funciona como una empresa que vende tecnología de piratería y otras herramientas a piratas informáticos externos. Los miembros de REvil han creado una infraestructura en línea en la Deep Web, una parte de Internet que los motores de búsqueda como Google no rastrean, para que otros piratas informáticos publiquen documentos robados y cobren los pagos de ransomware de las víctimas. A cambio de usar los servicios y el malware de REvil, REvil, obtiene un 20% del beneficio de cualquier pago de ransomware, mientras que sus piratas informáticos afiliados se quedan con el otro 80%. Ya hemos visto casos similares anteriormente, tales como Conti y Ryuk.
¿Qué quiere REvil?
A diferencia de los piratas informáticos nacionales, REvil tiene una motivación puramente financiera. Los grupos de piratería que están motivados únicamente por el dinero pueden ser más peligrosos que los grupos de piratería de nacionales, porque están más dispuestos a «cerrar hospitales». Los grupos de piratería nacionales operan con unas “reglas y normas no escritas” que normalmente significan que evitan los ataques de ingeniería que podrían causar muertes de personas, tales como cerrar un hospital.
¿Cómo pueden las empresas prevenir los ataques de ransomware?
En el caso de que la empresa no tenga un servicio o consultora de ciber seguridad contratado, deberán al menos hacer una copia de seguridad diaria de todos sus datos importantes en modo offline, para que puedan restaurar sus sistemas de TI después de ser atacados, y siempre evitando pagar un rescate, el cual la mayoría de las veces no acaba en solución, tan solo en la pérdida de más dinero. Las empresas también deben obtener servicios de protección de sus datos a través de nuestra empresa SegurTIC y, además, recibir formación en ciber seguridad para sus empleados. Es esencial que el Director de TI de todas las empresas esté preparándose para el ransomware y planificar una estrategia de ciber seguridad.
Desde SegurTIC esperamos vuestros comentarios en este foro abierto.
Creo que la etiqueta del «mayor ciberataque de la historia» depende de a qué tipo de daño se refiera. Si un daño masivo por número de afectados, como el de Yahoo. O si por el tamaño del «rescate» exigido. Creo que este corresponde a lo segundo. De todos modos, gracias por informar.