El ciberataque al proveedor de tecnología estadounidense Kaseya ha sido calificado como uno de los ataques de ransomware más importantes. El experto en ciberseguridad Stel Valavanis considera que el ataque a Kaseya se ha afrontado mucho mejor de lo que lo hizo SolarWinds. Pero afirman que todavía hay mucho que aprender.
Según Reuters, la banda REvil exige 70 millones de dólares para restaurar los datos por los que pide un rescate. El ciberataque detectado durante el fin de semana tenía como objetivo el proveedor de tecnología estadounidense Kaseya.
Stel Valavanis, CEO de onShore Security, con sede en Chicago, cree que Kaseya manejó el ciberataque mejor que SolarWinds.
El ataque a Kaseya fue descubierto antes de que golpee a la compañía y se informó rápidamente. Muchos objetivos se salvaron como resultado, y su revelación y rápido trabajo debería aumentar la confianza. En cambio, SolarWinds parecía estar en negación durante gran parte del tiempo.
Se sospecha que el ataque a Kaseya permitió a los hackers robar la herramienta de gestión de escritorios de la empresa VSA. Esto les ha permitido infectar al proveedor de gestión tecnológica que presta servicio a miles de empresas en todo el mundo.
Una de las primeras en sentir las consecuencias del ataque fue la cadena de supermercados sueca Coop. Se vio obligada a cerrar sus 800 tiendas, ya que el ataque le impidió utilizar sus cajas registradoras.
Ataques similares
Valavanis, como muchos otros expertos en ciberseguridad, establece un paralelismo entre el ataque a Kaseya y el que se efectuó contra SolarWinds.
Kaseya se utiliza para gestionar muchas redes de forma centralizada. Además, hay otras similitudes con el ataque a SolarWinds, como la explotación de un mecanismo de actualización y la utilización de software de confianza ya existente.
Los datos recogidos por ESET indican que el ataque a Kaseya es similar al infame ataque a SolarWinds ya que ambos pueden ser categorizados como ataques a la cadena de suministro.
¿Qué tiene de especial este reciente ataque a Kaseya?
El software tenía que ser de confianza para ser explotado. Esto es cierto sobre el mecanismo de actualización, los ejecutables y las herramientas de defensa de Microsoft también.
Aparentemente, los atacantes ejecutaron una versión antigua de MS Defender para ejecutar cargas útiles sin ser detectados. Entonces, por supuesto, las carpetas de Kaseya están etiquetadas para no ser escaneadas. Esta es la similitud con SolarWinds.
¿Qué conclusión se puede sacar de este ataque?
Como consecuencia del ataque a Kaseya se puede concluir que todavía no es confiar en ningún código. Tal vez la catedral (paradigma de la programación) ha seguido su curso y a las máquinas aún les falta mucho desarrollo de su inteligencia ya que se las puede engañar.
El presidente de EE.UU., Joe Biden, dijo que el ataque a Kaseya parece haber infligido un “daño mínimo” a las empresas estadounidenses.
Los comentarios del presidente se producen después de que Kaseya declarara que el ataque nunca supuso una amenaza para las infraestructuras críticas de EE.UU.
Pero el ataque a Kaseya fue otro ejemplo de cómo los ciberdelincuentes que se cree que operan desde Rusia están desbocados en Estados Unidos. Biden ha tratado de presionar a Putin para que ponga en cintura a los ciberdelincuentes rusos, pero hasta ahora no ha tenido mucho efecto.