CIBERSEGURIDAD

REvil ransomware: misma estrategia, diferente víctima

Todas las aplicaciones, redes y centros de datos son vulnerables al grupo REvil. Durante el último ataque  de este fin de semana, se detectaron víctimas en Reino Unido, Sudáfrica, Estados Unidos, Suecia,  Argentina, México, Japón, Nueva Zelanda y España, entre otras

Alexandra Moguel / Metabase / Opinión El Heraldo de México
Escrito en OPINIÓN el

Las celebraciones del 4 de julio por el Día de la Independencia en Estados Unidos se vieron opacadas por la 
actividad del grupo cibercriminal de ransomware: Revil. Este aprovechó las festividades para poner en 
marcha un ataque generalizado a la compañía Kaseya, a través de la explotación de una vulnerabilidad-del 
servicio de gestión remota VSA de Kaseya. Así, lanzaron un paquete de actualización malicioso dirigido a la 
clientela de proveedoras de servicios gestionados (MSP, por sus siglas en inglés) y a empresas usuarias de 
la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.

Pareciera que ya habíamos vivido este escenario antes ¿no? En efecto, se trata de la misma estrategia (con 
diferentes códigos maliciosos) utilizada en los ciberataques que sufrieron SolarWinds, Colonial Pipeline y 
JBS, en la que ciberatacantes infiltraron un proveedor Software as a Service (SaaS, por sus siglas en inglés) 
y victimizaron una larga lista de objetivos. Desafortunadamente, las estadísticas indican que durante 2021 
los ataques de ransomware seguirán siendo protagonistas de los titulares. De hecho, este año han 
registrado un aumento histórico de 93%. 

Todas las aplicaciones, redes y centros de datos son vulnerables al grupo REvil. Durante el último ataque 
de este fin de semana, se detectaron víctimas en Reino Unido, Sudáfrica, Estados Unidos, Suecia, 
Argentina, México, Japón, Nueva Zelanda y España, entre otras. Desde que se dio a conocer en mayo de 
2020, este grupo ha exfiltrado información de miles de organizaciones, beneficiándose de los pagos de 
rescate y de las distintas subastas en la “dark web”. 

En México también hemos sido víctimas de este grupo, recordemos que en 2020 CIBanco fue atacado, y su 
información confidencial, claves de acceso –entre ellas las utilizadas por la institución bancaria para entrar 
al Buró de Crédito– así como información y contraseñas de su clientela, presuntamente fueron vendidas en
la "dark web". Después, volvió a atacar en mayo de 2021, en esa ocasión la víctima fue BIM, una institución 
de banca múltiple especializada en el otorgamiento de créditos hipotecarios y para el desarrollo de 
viviendas.

Las similitudes entre los ciberataques mencionados son bastante claras y exponen con precisión una 
curva de aprendizaje que debemos aplanar. Tanto las personas usuarias, como las tomadoras de 
decisiones en las organizaciones, debemos observar los acontecimientos “aislados” y conectarlos. Solo así 
identificaremos patrones, tendremos un panorama más amplio, e iremos más allá de las advertencias que 
se ven a simple vista para implementar estrategias de ciberseguridad realmente efectivas.

¿Podemos evitar que REvil siga publicando victorias en su sitio “Happy Blog”? Por supuesto. El análisis, la 
cooperación y la especialización son puntos clave para lograrlo. En ese sentido, es importante mencionar 
la gran labor que está realizando OCELOT, el equipo de Seguridad Ofensiva de la empresa Metabase Q, 
quienes realizan emulaciones de los distintos ataques en diferentes empresas para encontrar las 
vulnerabilidades y puntos débiles y remediarlos antes de que cibercriminales puedan lanzar su ataque.

El incidente de Kaseya es un punto de inflexión que debe conducirnos a una postura de ciberseguridad 
mucho mejor de la actual, para revertir el efecto de los ataques.

 

Por: Alexandra Moguel 
@MetabaseQ

www.metabaseq.com
contact@metabaseq.com

SSB