Un ataque masivo del ransomware REvil, también conocido somo Sodinokibi, afectó a más de 1.000 compañías en al menos 17 países del mundo. El grupo REvil afirmó en una publicación en su sitio de la Dark web, que utiliza para divulgar información sobre sus víctimas, que más un millón de sistemas fueron comprometidos por su ransomware. Ahora ofrecen un descifrador para todas las víctimas del ataque de Kaseya por 70 millones de dólares.
La distribución ocurrió mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software de gestión de IT de la compañía Kaseya. Este software es utilizado comúnmente por proveedores de servicios administrados.
Un proveedor de servicios administrados (MSP, por sus siglas en inglés) es una empresa ofrece servicios de gestión de tecnología de la información (IT) de manera remota. En este caso, la actualización con permisos de administrador afectó a los MSP y estos a su vez infectaron los sistemas de sus clientes con la amenaza. Así fue el caso de una cadena de supermercados en Suecia que tuvo que cerrar algunas tiendas y al menos 11 escuelas en Nueva Zelanda.
Países afectados
Luego de los ataques a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio —que involucraron la explotación de una vulnerabilidad zero-day que estaba en proceso de ser reparada—, según datos de la telemetría de ESET se detectaron víctimas del ransomware REvil relacionadas con este ataque en Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, España y Turquía.
Kaseya, compañía que cuenta con aproximadamente 40.000 clientes, explicó en su sitio web —el cual ha ido actualizando— que notificó a las personas potencialmente afectadas con la recomendación de cerrar posibles servidores VSA de manera inmediata hasta tanto se publique el parche. Sin embargo, para muchas empresas ya había sido tarde y ya habían sido afectadas por el ransomware que cifró su información.
Si bien los proveedores de productos de seguridad como ESET detectan este malware, hubo un desfase entre el momento en que los servidores comprometidos se vieron afectados por los ataques y el momento en que los equipos de soporte y el software pudieron responder, lo que provocó que las primeras infecciones tuvieran tiempo de hacer su daño, explicaron especialistas de ESET.
Una vez que el ransomware cifra la información el fondo del escritorio cambia a una imagen como la que se aprecia en la Imagen de esta noticia.
Origen: Ataque masivo del ransomware REvil comprometió más de 1000 compañías en mundo | WeLiveSecurity
