El 2 de julio de 2021, varios proveedores de servicios gestionados (MSP) y sus clientes se convirtieron en víctimas de un ataque de ransomware perpetrado por el grupo REvil , [1] que provocó un tiempo de inactividad generalizado para más de 1000 empresas. [2] [3] [4]
Kaseya Limited es una empresa de software estadounidense fundada en 2001. Desarrolla software para administrar redes , sistemas e infraestructura de tecnología de la información . Propiedad de Insight Partners , Kaseya tiene su sede en Miami, Florida, con sucursales en los EE. UU., Europa y Asia Pacífico. [5] Desde su fundación en 2000, ha adquirido 13 empresas, que en la mayoría de los casos continúan operando como sus propias marcas (bajo el lema "una empresa de Kaseya"), incluida Unitrends .
En cuestión de horas, se identificó que la fuente del brote era VSA (Administrador de sistema virtual), [1] un paquete de software de administración y monitoreo remoto desarrollado por Kaseya. Una vulnerabilidad de omisión de autenticación en el software permitió a los atacantes comprometer VSA y distribuir una carga útil maliciosa a través de hosts administrados por el software, [6] amplificando el alcance del ataque. [7] En respuesta, la empresa cerró sus servidores VSA en la nube y SaaS y emitió un aviso de seguridad a todos los clientes, incluidos aquellos con implementaciones locales de VSA. [8]
Los informes iniciales de las empresas afectadas por el incidente incluyen al desarrollador de software financiero noruego Visma , que administra algunos sistemas para la cadena de supermercados sueca Coop . [9] La cadena de supermercados tuvo que cerrar sus 800 tiendas durante casi una semana, algunas en pequeños pueblos sin ninguna otra tienda de alimentación. No pagaron el rescate, sino que reconstruyeron sus sistemas desde cero después de esperar una actualización de Kaseya. [10]
La banda de ransomware REvil se atribuyó oficialmente el ataque y afirmó haber encriptado más de un millón de sistemas durante el incidente. Inicialmente pidieron un pago de rescate de $70 millones para lanzar un descifrador universal para desbloquear todos los sistemas afectados. [11] El 5 de julio, Kaseya dijo que entre 800 y 1.500 empresas downstream se vieron afectadas por el ataque. [12]
Marcus Hutchins criticó la evaluación de que el impacto del ataque de Kaseya fue mayor que WannaCry , citando dificultades para medir el impacto exacto. [13]