Cómo se ha producido, qué implicaciones tiene y por qué es solo el principio: todo lo que se sabe sobre el ciberataque a Kaseya que ya afecta a más de 1.000 empresas en todo el mundo

SolarWinds sufrió un ciberataque hace apenas 8 meses que ha pasado a la historia como uno de los más críticos. Su alcance pudo ser masivo, ya que SolarWinds es una proveedora de soluciones TI. En la industria de la ciberseguridad, este tipo de incidentes informáticos se conocen como ataques a la cadena de suministro. Se ataca al proveedor, se afecta a sus clientes.

Solo 8 meses después, un nuevo ciberataque rivaliza en criticidad. Es el ciberataque a Kaseya, otro proveedor de servicios TI administrados en remoto. Sin entrar en una maraña técnica, una de las soluciones de Kaseya es una plataforma en la nube llamada VSA mediante la cual esta firma, con sede en Florida (EEUU), permite a sus clientes actualizar y mantener sus soluciones en remoto.

Es este servicio VSA el que ha sido golpeado por un colectivo que opera un ransomware conocido como REvil (también denominado Sodinokibi). Los ciberdelincuentes de REvil podrían operar desde Rusia (las agencias de seguridad estadounidenses ya lo están investigando, a las órdenes del presidente Joe Biden). El asalto al sistema VSA de Kaseya ha permitido a REvil entrar en las redes informáticas de cientos de empresas.

El incidente se detectó el pasado viernes a última hora de la tarde, hora española. En un primer momento se planteó que solo 200 firmas clientes de Kaseya se habían visto afectadas. Una posterior nota de rescate de los criminales de REvil aducían que habían logrado cifrar más de un millón de sistemas informáticos de más de un millar de empresas en todo el mundo.

EEUU, Rusia y China protagonizan una ciberguerra que se ha convertido en el juego de espías más sofisticado de la historia: estas son las armas con las que cuenta cada uno

La investigación que ha hecho una firma de ciberseguridad, ESET, avanzaba además este fin de semana que algunas de las compañías afectadas por este incidente informático están en España o son españolas, si bien no ha trascendido información qué organizaciones se han podido ver afectadas por este ciberataque.

Lo que está claro y avalan los datos es que los meses estivales suelen concentrar el mayor número de ciberataques cada año. Los ataques de REvil contra MásMóvil a mediados de la semana pasada y contra Kaseya ahora marcan el inicio de una nueva oleada de incidentes que utilizan este tipo de código dañino, cuyo propósito es cifrar los sistemas informáticos de sus víctimas para reclamar después un rescate a cambio de una herramienta que lo descifre y recobre todo a la normalidad.

Esto es todo lo que se sabe hasta ahora del ciberataque a Kaseya, uno de los más graves de 2021.

Kaseya estaba a punto de solucionar una vulnerabilidad

Existen algunas pistas de cómo se ha podido originar el ataque.

La firma de ciberseguridad Huntress ha comenzado sus propias pesquisas que está actualizando en directo a través de esta página web. Las primeras valoraciones plantean la posibilidad de que el incidente arrancara con una inyección de código SQL en la pantalla para iniciar sesión en el gestor de VSA, la solución de Kaseya atacada. 

Pero la brecha que podría haber disparado la magnitud del incidente es una vulnerabilidad que ya ha sido catalogada como CVE-2021-30116, y que fue detectada por un investigador del Instituto Neerlandés de Divulgación de Vulnerabilidades, el DIVD.

"Tras esta crisis, tocará preguntarse de quién ha sido culpa. Por nuestra parte, queríamos remarcar que Kaseya ha cooperado mucho. Una vez que Kaseya recibió nuestras indicaciones, hemos estado en contacto constante con ellos y han cooperado. Hicieron las preguntas correctas sobre todas las cosas que no estaban claras en nuestros informes. Compartieron con nosotros sus avances en los parches para que confirmásemos que funcionaban", remarca el DIVD en un comunicado.

En la industria de la ciberseguridad es habitual que investigadores trabajen y descubran ciertas brechas en el software de terceros y que lo primero que hagan sea comunicárselo a las interesadas para que lo solucionen, antes de compartir toda la información con la comunidad. En esta ocasión no se llegó a tiempo: el DIVD notificó la vulnerabilidad, Kaseya comenzó a trabajar en ella, y se ha constatado que REvil la ha aprovechado antes de que llegase el parche.

Guerra, espionaje, extorsión y muertes: estos han sido los mayores hackeos e incidentes informáticos en el año de la pandemia

"Desafortunadamente, REvil nos ha ganado en el sprint final, y han podido aprovecharse de las vulnerabilidades antes de que los clientes de Kaseya pudiesen aplicar un parche", lamenta el instituto de los Países Bajos.

El ransomware ha llegado a los clientes de Kaseya en forma de una actualización falsa de su software, tal y como ocurriera con SolarWinds. Esto ha sido posible porque se subió el código malicioso a los servidores de la plataforma VSA gracias a esta vulnerabilidad zero-day (aquella que todavía no ha sido subsanada, como ha sido el caso).

Lo que lo ha terminado de complicar todo es que las instalaciones del VSA de Kaseya en las infraestructuras TI de sus clientes requería que el programa tuviese unos permisos privilegiados para poder operar en sus redes —enviaban actualizaciones a sus clientes, a fin de cuentas—. Es lo que ha explicado otra firma de ciberseguridad, Sophos, en este artículo.

Aparentemente, las excepciones que Kaseya requería para sus instalaciones es lo que ha permitido al ransomware de REvil propagarse con absoluta tranquilidad sin ser detectado.

Esta vez no se han robado datos

REvil se popularizó el año pasado por ser una de las bandas que antes se abonaron al concepto de doble extorsión. Con este fenómeno, los operadores de ransomware no solo cifran los archivos y sistemas de sus víctimas, sino que también extraen datos para poder chantajear y exigir el rescate, a cambio de recobrar a la normalidad las redes afectadas y evitar que se filtre información sensible a la red.

No siempre roban información. REvil señaló a MásMóvil a mediados de la semana pasada y reivindicaron haber robado sus bases de datos. La operadora española desmintió la información y aseguró que el incidente solo había afectado "a unos servidores sin importancia". También se ha visto en alguna ocasión cómo REvil juega un farol al advertir que han robado datos.

Microsoft afirma que se ha descubierto una nueva brecha de seguridad en la investigación de presuntos 'hackers' de SolarWinds

En su página en la dark net, el colectivo reclama el pago de 70 millones de dólares (casi 60 millones de euros) para que Kaseya y sus clientes puedan volver a la normalidad. En un principio, el número de compañías afectadas superaban las 200. Las últimas informaciones hablan de 1.000 firmas. Kaseya tiene una base de clientes de 40.000 empresas.

Lo primero que ha hecho la firma ha sido apagar los servidores de su plataforma VSA que han sido los primeros en verse afectados. Después ha publicado un programa para que sus clientes puedan detectar si han sido infectados por el ransomware aunque este no se haya visto manifestado. ESET, por su parte, ha ofrecido algunos pantallazos sobre cómo son los fondos de pantalla que muestran los ordenadores infectados.

La última información que dio Kaseya a última hora de este lunes es que seguían trabajando en controlar el problema. "Todos los servidores VSA deben mantenerse apagados hasta nuevas instrucciones, que llegarán cuando sea seguro retomar operaciones. Será necesario instalar un parche antes de reiniciar VSA y se tendrán que asumir una serie de recomendaciones sobre cómo mejorar la seguridad de las redes", advertía.

Kaseya también pedía a sus clientes afectados, sobre todo aquellos que ya se habían puesto en contacto con los criminales informáticos para pagar su parte del rescate, que no pinchen bajo ningún concepto en ningún enlace. La razón: algunas empresas podrían convertirse involuntariamente en un 'arma' para seguir propagando este ransomware.

En ciberseguridad no se confía en nadie

La información que trasladaba Sophos sobre cómo el software de Kaseya requería de contar con excepciones y privilegios en las redes de sus clientes impone con urgencia una de las máximas de la ciberseguridad que más desoídas están: no se confia en nadie.

Muchas compañías de seguridad informática ofrecen soluciones zero-trust: la idea de aislar las redes corporativas y fragmentarlas lo máximo posible para, en pocos palabras, evitar que por ejemplo un rasomware pueda afectar de forma unívoca e inmediata a todos los departamentos de un hospital.

La idea de no ofrecer privilegios y de aplicar esas estrategias zero-trust en las redes también conciernen a proveedores, por muy de confianza que puedan ser. El mayor ciberataque de 2021 se ha producido, en cierto modo, porque en ciberseguridad se protege la red de redes, los cientos de miles dispositivos que hay conectados cada día. Y si uno cae, pueden caer todos.

Medios como Forbesya hablan de una oleada de ransomware que ya se convierte en una tendencia anual, como señalan desde la firma de ciberseguridad Emsisoft. Todos los veranos el número de incidentes relacionados con este tipo de ataques repuntan. Los ciberdelincuentes aprovechan que en épocas de estío hay menos trabajadores en las oficinas a causa de las vacaciones.

Los 11 mayores hackeos y brechas de seguridad de la década pasada en EEUU que a día de hoy siguen teniendo repercusión

Por el momento, como Business Insider España avanzaba ayer, una de las consecuencias más gráficas del incidente que ha sufrido Kaseya es que los establecimientos de una cadena de supermercados sueca se vieron obligados a cerrar este fin de semana porque las cajas registradoras habían dejado de funcionar.

Ross Mckerchar, director de Seguridad de la Información en Sophos, ya habla de "uno de los ataques criminales de ransomware de mayor alcance" que su compañía haya visto. "Nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significa más de 350 organizaciones afectadas".

Se está cumpliendo lo que varios expertos españoles en ciberseguridad advirtieron a este medio: los ciberataques tras la pandemia serán menos, pero causarán más estragos.

Hay compañías afectadas en países como EEUU, Alemania, Canadá, Australia, Reino Unido o España. "Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual".

Hasta el siguiente.

K