Ransomware REvil | Ataque contra 1000 empresas

Un ataque masivo comprometió 100 empresas en todo el mundo

El Ransomware REvil (conocido también como Sodinokibi) en un ataque masivo logro afectar a más de 1000 empresas en todo el mundo, mediante un ataque de cadena de suministro, en donde se utilizo un instalador de actualizaciones automáticas del software de gestión de TI de la compañía Kaseya, una empresa proveedora de servicios (MSP) ofreciendo servicios de administración TI de forma remota.

¿Un ataque masivo?

El viernes 2 de julio, los servidores de la empresa Kaseya fueron atacados, durante dicho ataque se explotaron vulnerabilidades del tipo 0day. Después de comprometer los servidores de la empresa, se comprometieron los sistemas de más de 1000 empresas.

Según datos de telemetría de ESET se detectaron victimas del Ransomware REvil en países como Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauritania, Nueva Zelanda, Turquía y España.

Reporte de Kesaya (4 de Julio)

La empresa Kesaya en un informe en su sitio web [ kaseya.com ] recomendó a sus clientes y potenciales victimas de este ataque, cerrar de forma inmediata todos ser servidores VSA y esperar hasta poder solucionar las vulnerabilidades del tipo 0Day y liberar un parche para todos sus clientes.

Los sistemas comprometidos

De acuerdo a ESET cuando los sistemas son comprometidos y la información cifrada, el fundo del escritorio cambia a color azul.

Sistema infectado | Fuente: Kevin Beaumont (Twitter)

En la imagen que se pone de fondo de pantalla podemos apreciar un texto en el cual nos indica cual es el archivo de la nota de rescate, un archivo .txt. El archivo es la nota de rescate que los cibercriminales dejan con los pasos a seguir para pagar el rescate de los archivos encriptados.

Nota de rescate en sistemas comprometidos: Fuente ESET

Costo del rescate solicitado por los actores de amenaza

Los costos de rescate varían, dependiendo de las ganancias de las empresas afectadas, siendo cinco millones el costo más alto registrado hasta el momento.

Sitio de descifrado de REvil. Fuente: Will Bushido (Twitter)

El grupo de REvil

El grupo detrás del ataque ofrece un descifrador a las victimas de Kaseya por 70 millones de dólares en BTC, oferta publicada en su sitio web en la DarkWeb. 

 

El grupo de REvil ofrece un descifrador universal en su sitio web. Fuente: ESET

Sin embargo los actores del ataque, están dispuestos a negociar los precioso.

El grupo detrás del REvil negocian el precio del descifrador universal. Fuente: Jack Cable (Twitter)

Fuente de datos:

• https://www.welivesecurity.com/la-es/2021/07/05/ataque-masivo-ransomware-revil-comprometio-mas-1000-companias-mundo/
• https://www.bleepingcomputer.com/news/security/revil-is-increasing-ransoms-for-kaseya-ransomware-attack-victims/
• https://twitter.com/ESETresearch/status/1411541348453322755?s=20
• https://twitter.com/jackhcable/status/1411906687968161792
• https://twitter.com/BushidoToken/status/1411046405121228814
• https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/
• https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/