Grupo de ransomware exige un pago de $ 70 millones en Bitcoin para desbloquear computadoras infectadas
El grupo REvil ha vuelto a atacar, cifrando más de un millón de sistemas y exigiendo un pago de 70 millones de dólares en Bitcoin para liberar el "descifrador universal" para desbloquear los archivos cifrados en todos los sistemas afectados.
Las estimaciones sitúan el número total de empresas afectadas en alrededor de 200, unas 40 de las cuales fueron atacadas a través de Kaseya, el proveedor de servicios gestionados (MSP) que se cree que está en el centro de este ataque a la cadena de suministro.
REvil Group exige un pago de $ 70 millones en Bitcoin por Decryptor
A finales del 2 de julio de 2021, los informes de otro gran ataque de ransomware se extendieron por Internet. Se atacaron alrededor de 30 MSP, que afectaron a cientos de empresas y, teóricamente, a millones de computadoras individuales.
Rápidamente se supo que el notorio sindicato del crimen REvil estaba detrás del ataque de ransomware, y el grupo exigía rescates de hasta $ 50,000 para desbloquear sistemas individuales, con claves de descifrado más grandes para toda la empresa ofrecidas por hasta $ 5 millones, con todos los pagos realizados en Bitcoin.
Sin embargo, a última hora del domingo 4 de julio de 2021, una actualización del sitio web oscuro de REvil reveló que la organización criminal entregaría una clave de descifrado universal a todas las empresas y organizaciones afectadas, por la tarifa de 70 millones de dólares.
REvil golpea a 200 empresas en un ataque a la cadena de suministro
Según un informe visto por la BBC , alrededor de 200 empresas con sede en EE. UU. Se han visto afectadas por ransomware. Sin embargo, el efecto dominó del ataque ha sido mucho mayor. Debido a la naturaleza de un ataque a la cadena de suministro , donde la víctima inicial es a menudo un trampolín hacia las víctimas secundarias, el ataque de ransomware REvil tiene varias víctimas adicionales.
En Suecia, 500 supermercados Coop se vieron obligados a cerrar, junto con 11 escuelas en Nueva Zelanda, y muchos otros pequeños incidentes se extendieron por todo el mundo. Según el director ejecutivo de Kaseya, Fred Voccola, las víctimas incluirían principalmente "consultorios dentales, firmas de arquitectura, centros de cirugía plástica, bibliotecas, cosas así".
Se cree que hay más víctimas, muchas de las cuales aún deben informar o revelar la violación del ransomware o si han intentado pagar el rescate.
Investigadores de seguridad holandeses informaron sobre la vulnerabilidad de día cero de Kaseya
En un golpe final, los investigadores de seguridad del Instituto Holandés de Divulgación de Vulnerabilidades revelaron que se contactaron con Kaseya anteriormente con respecto a varias vulnerabilidades de día cero (rastreadas bajo CVE-2021-30116 ) bajo pautas de divulgación responsable.
Los investigadores trabajaron con Kayesa, "dando nuestra opinión sobre lo que sucedió y ayudándolos a sobrellevarlo. Esto incluyó darles listas de direcciones IP e identificaciones de clientes de clientes que aún no habían respondido, a los que se comunicaron de inmediato por teléfono".
Pero la conclusión más importante es que Kayesa conocía la peligrosa vulnerabilidad antes de que llegara el ransomware REvil, que podría convertirse en un problema importante en el proceso post-mortem para las muchas empresas afectadas.