El grupo de delincuentes que atacó a Kaseya exige un rescate de 70 millones de dólares
El grupo de delincuentes que atacó a Kaseya exige un rescate de 70 millones de dólares | Fuente: Unsplash

El incremento de ataques para secuestrar información no cesa en el mundo. Tras el reporte de un hackeo masivo a la empresa de soporte tecnológico Kaseya durante el último fin de semana, el equipo de delincuentes rusos REvil ha exigido un rescate de 70 millones de dólares para la liberación de datos robados a las compañías asociadas al objetivo inicial.

De acuerdo con Reuters, el grupo REvil anunció en un blog de la “Dark Web” el monto exigido para liberar la información asociada a miles de empresas bajo el soporte de Kaseya, compañía con sede en Miami afectada en este ataque.

Parte de esta acción impactó en empresas de todo tipo: escuelas, organismos del sector público, organizaciones de viajes, cooperativas de crédito y similares. La cadena de supermercados Swedish Coop detuvo sus operaciones en cientos de tiendas, luego de que sus cajas registradoras fuesen desconectadas como consecuencia del ataque.

Secuestro de datos: el nuevo oro de los hackers

REvil es un grupo de ciberdelincuentes rusos que se especializa en ataques de ransomware a nivel global y que ya ha logrado impactar en distintas industrias. El caso más reciente fue el pago efectuado por JBS, empacadora de carne brasileña que cedió al chantaje de los atacantes y recuperó su información mediante el pago de 11 millones de dólares.

El método aplicado permite “secuestrar” información de la víctima. Al inocular un malware en una brecha dentro de una red, los delincuentes activan el código malicioso para encriptar uno o varios discos duros y exigir el pago de un rescate – en bitcoins o en dólares – para la liberación de la data. En el 10% de los casos, según diversos analistas de ciberseguridad, las víctimas acceden al pago pese a que esa transacción no garantiza, necesariamente, recuperar el acceso.

Lo ocurrido con Kaseya impactó en la nube VSA, una herramienta que usan para acceder de manera remota a terminales de clientes y que se enlaza directamente con centenares de negocios para el soporte.

Una vez que el servidor está infestado, el malware cierra el acceso administrativo y comienza a cifrar los datos, el precursor del ciclo completo de ataque de ransomware. Una vez que se completa el proceso de cifrado, el fondo de escritorio del sistema se configura con una imagen y aparece una la nota de rescate.