Las celebraciones del 4 de julio por el Día de la Independencia en Estados Unidos se vieron opacadas por la
actividad del grupo cibercriminal de ransomware: Revil. Este aprovechó las festividades para poner en
marcha un ataque generalizado a la compañía Kaseya, a través de la explotación de una vulnerabilidad-del
servicio de gestión remota VSA de Kaseya. Así, lanzaron un paquete de actualización malicioso dirigido a la
clientela de proveedoras de servicios gestionados (MSP, por sus siglas en inglés) y a empresas usuarias de
la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.
Pareciera que ya habíamos vivido este escenario antes ¿no? En efecto, se trata de la misma estrategia (con
diferentes códigos maliciosos) utilizada en los ciberataques que sufrieron SolarWinds, Colonial Pipeline y
JBS, en la que ciberatacantes infiltraron un proveedor Software as a Service (SaaS, por sus siglas en inglés)
y victimizaron una larga lista de objetivos. Desafortunadamente, las estadísticas indican que durante 2021
los ataques de ransomware seguirán siendo protagonistas de los titulares. De hecho, este año han
registrado un aumento histórico de 93%.
Todas las aplicaciones, redes y centros de datos son vulnerables al grupo REvil. Durante el último ataque
de este fin de semana, se detectaron víctimas en Reino Unido, Sudáfrica, Estados Unidos, Suecia,
Argentina, México, Japón, Nueva Zelanda y España, entre otras. Desde que se dio a conocer en mayo de
2020, este grupo ha exfiltrado información de miles de organizaciones, beneficiándose de los pagos de
rescate y de las distintas subastas en la “dark web”.
En México también hemos sido víctimas de este grupo, recordemos que en 2020 CIBanco fue atacado, y su
información confidencial, claves de acceso –entre ellas las utilizadas por la institución bancaria para entrar
al Buró de Crédito– así como información y contraseñas de su clientela, presuntamente fueron vendidas en
la "dark web". Después, volvió a atacar en mayo de 2021, en esa ocasión la víctima fue BIM, una institución
de banca múltiple especializada en el otorgamiento de créditos hipotecarios y para el desarrollo de
viviendas.
Las similitudes entre los ciberataques mencionados son bastante claras y exponen con precisión una
curva de aprendizaje que debemos aplanar. Tanto las personas usuarias, como las tomadoras de
decisiones en las organizaciones, debemos observar los acontecimientos “aislados” y conectarlos. Solo así
identificaremos patrones, tendremos un panorama más amplio, e iremos más allá de las advertencias que
se ven a simple vista para implementar estrategias de ciberseguridad realmente efectivas.
¿Podemos evitar que REvil siga publicando victorias en su sitio “Happy Blog”? Por supuesto. El análisis, la
cooperación y la especialización son puntos clave para lograrlo. En ese sentido, es importante mencionar
la gran labor que está realizando OCELOT, el equipo de Seguridad Ofensiva de la empresa Metabase Q,
quienes realizan emulaciones de los distintos ataques en diferentes empresas para encontrar las
vulnerabilidades y puntos débiles y remediarlos antes de que cibercriminales puedan lanzar su ataque.
El incidente de Kaseya es un punto de inflexión que debe conducirnos a una postura de ciberseguridad
mucho mejor de la actual, para revertir el efecto de los ataques.
Por: Alexandra Moguel
@MetabaseQ
www.metabaseq.com
contact@metabaseq.com
SSB