Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware global más grande registrado, y surgieron algunos detalles sobre cómo la pandilla vinculada a Rusia responsable violó la compañía cuyo software era el conducto.
Un afiliado de la notoria banda REvil, más conocida por extorsionar a la procesadora de carne JBS por $ 11 millones después de un ataque del Día de los Caídos, infectó a miles de víctimas en al menos 17 países el viernes, principalmente a través de empresas que administran de forma remota la infraestructura de TI para múltiples clientes. dijeron los investigadores de ciberseguridad.
REvil estaba exigiendo rescates de hasta $ 5 millones, dijeron los investigadores. Pero el domingo por la noche ofreció en una publicación en su sitio web oscuro una clave de software de descifrado universal que descifraría todas las máquinas afectadas a cambio de $ 70 millones en criptomonedas.
Anteriormente, el FBI dijo en un comunicado que mientras investigaba el ataque, su escala “puede hacer que no podamos responder a cada víctima individualmente”. La asesora adjunta de Seguridad Nacional, Anne Neuberger, emitió más tarde un comunicado en el que decía que el presidente Joe Biden había “dirigido todos los recursos del gobierno para investigar este incidente” e instó a todos los que creían que estaban comprometidos a alertar al FBI.
Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado.
Hace menos de un mes, Biden presionó al presidente ruso Vladimir Putin para que dejara de dar refugio a REvil y otras bandas de ransomware cuyos implacables ataques extorsivos que Estados Unidos considera una amenaza a la seguridad nacional.
Una amplia gama de empresas y agencias públicas se vieron afectadas por el último ataque, aparentemente en todos los continentes, incluidos los servicios financieros, los viajes y el ocio y el sector público, aunque pocas grandes empresas, informó la firma de ciberseguridad Sophos. Los delincuentes de ransomware se infiltran en las redes y siembran malware que los paraliza al codificar todos sus datos. Las víctimas reciben una clave decodificadora cuando pagan.
La cadena de supermercados sueca Coop dijo que la mayoría de sus 800 tiendas cerrarían por segundo día el domingo porque su proveedor de software de caja registradora estaba paralizado. También se vieron afectadas una cadena de farmacias sueca, una cadena de gasolineras, el ferrocarril estatal y la emisora pública SVT.
En Alemania, una empresa de servicios de TI no identificada dijo a las autoridades que varios miles de sus clientes estaban comprometidos, informó la agencia de noticias dpa. También entre las víctimas denunciadas se encontraban dos grandes empresas holandesas de servicios de TI: VelzArt y Hoppenbrouwer Techniek. La mayoría de las víctimas de ransomware no informan públicamente de los ataques ni revelan si han pagado rescates.
El CEO Fred Voccola de la compañía de software violada, Kaseya, calculó el número de víctimas en miles, en su mayoría pequeñas empresas como “consultorios dentales, firmas de arquitectura, centros de cirugía plástica, bibliotecas, cosas así”.