El mega ataque del fin de semana afectó inclusive a países como Suecia y llevó al presidente Biden a reforzar acciones de inteligencia.
Así como la pandemia de Covid-19 ha seguido su curso sin importarle quien está en la Casa Blanca, es probable que los grandes ataques de ransomware que han sufrido los Estados Unidos en 2021 hubiesen ocurrido del mismo modo si Joe Biden no fuera el presidente.
Pero lo es. Y así como le declaró la guerra al SAR-CoV2 con un agresivo plan de vacunación, no ha dado muestras de querer quedarse de brazos cruzados frente a la ciberpandemia de ransomware. Todo lo contrario.
La primera muestra de que la Casa Blanca no está tomando a la ligera la situación: ya para el incidente de Colonial Pipeline en marzo había emitido una orden ejecutivo para que los cuerpos de inteligencia esmeraran las investigaciones y protocolos.
Tres meses después, un nuevo ataque masivo de ransomware afectó a más de 200 empresas, comprometiendo inclusive el prestigio de la operatividad del software estadounidense.
Declaración conjunta
El jueves, las autoridades estadounidenses y británicas dijeron que los espías rusos acusados de interferir en las elecciones presidenciales estadounidenses de 2016 han pasado gran parte de los últimos dos años abusando de las redes privadas virtuales (VPN) para atacar a cientos de organizaciones en todo el mundo.
Las entidades cibernéticas y de aplicación de la ley de los Estados Unidos y el Reino Unido (NSA, FBI, CISA y NCSC) han unido fuerzas para proteger a las empresas en sus respectivas naciones y el mundo, con la emisión del 1 de julio de una guía defensiva con respecto a la selección de objetivos del servicio de inteligencia ruso y metodologías de ataque.
El informe, Russian GRU Global Brute Force Campaign, señala que desde al menos mediados de 2019 hasta principios de 2021, la Unidad 26165 de GRU (inteligencia militar) rusa ha utilizado un “clúster de Kubernetes para llevar a cabo intentos de acceso de fuerza bruta distribuidos, generalizados, y anónimos contra cientos de objetivos gubernamentales y del sector privado en todo el mundo”.
Seguimiento previo
Cabe destacar que el mundo de la ciberseguridad ha identificó previamente los eventos que ahora se le han atribuido a la Unidad 26165 con los apodos Fancy Bear, APT28 y Strontium.
Cuando el ataque tiene éxito, según el informe, el adversario puede “acceder a datos protegidos, incluído el correo electrónico, e identificar credenciales de cuenta válidas”.
Luego usan las credenciales para moverse lateralmente dentro de la entidad objetivo, recolectando datos, estableciendo puntos de apoyo adicionales y, quizás lo más importante desde la perspectiva del adversario, evadir la detección.
El viernes, la embajada de Rusia en Washington negó ese cargo.
Horas después, se produjo un nuevo ataque, está vez de proporciones bíblicas.
Y al día siguiente, ¿reto a Biden?
Por ello, este sábado el presidente Biden aseguró que le había ordenado a las agencias estadounidenses establecer quienes fueron los responsables de este último incidente.
En principio y, de nuevo, las miradas se dirigen a Rusia y sus pandilla de ciberdelincuentes.
Al respecto, la firma de seguridad Huntress Labs señaló el viernes que creía que la banda rusa de ransomware REvil fue la responsable del último brote de ransomware.
Además, este mismo grupo había sido señalado el mes pasado por el FBI como culpable de paralizar la empacadora de carne JBS SA (JBSS3.SA).
“La idea inicial fue que no era el gobierno ruso, pero aún no estamos seguros”, señaló el presidente Biden quien ha sido cauto sobre el tema. En especial luego de su reunión con su homólogo ruso en la reciente cumbre del G7.
Los piratas informáticos que atacaron el viernes secuestraron un software de gestión de tecnología ampliamente utilizado de un proveedor con sede en Miami llamado Kaseya.
Efecto Kaseya
De hecho, los atacantes cambiaron una herramienta de Kaseya llamada VSA, utilizada por empresas que administran tecnología en empresas más pequeñas.
Luego cifraron los archivos de los clientes de esos proveedores simultáneamente. Una cadena importante cadena de minoristas en Estocolmo y otras empresas suecas se cuentan entre los afectados que debieron paralizar sus operaciones por no poder actualizar el software de sus cajas registradoras.
Huntress dijo que estaba rastreando a ocho proveedores de servicios administrados que se habían utilizado para infectar a unos 200 clientes.
Kaseya dijo en su propio sitio web el viernes que estaba investigando un “ataque potencial” a VSA, que es utilizado por profesionales de TI para administrar servidores, computadoras de escritorio, dispositivos de red e impresoras.
“Este es un ataque colosal y devastador a la cadena de suministro”, dijo el investigador de seguridad senior de Huntress, John Hammond, en un correo electrónico, refiriéndose a una técnica de piratas informáticos cada vez más notoria de secuestrar una pieza de software para comprometer a cientos o miles de usuarios a la vez.