Tecnología

Cómo Kaseya recuperó la información tras el ciberataque de REvil

La empresa no ha detallado si pagó un rescate, y el misterio en torno al caso se acrecienta tras la desaparición del grupo de hackers que protagonizó un ataque masivo a esta firma de software.

lun 26 julio 2021 05:00 AM

Rusia confirmó la desaparición de REvil — Las autoridades rusas dijeron que arrestaron a 14 miembros del grupo de ciberdelincuentes. (BlackJack3D/Getty Images/iStockphoto)

Fernando Guarneros Olmos

@Guarolf_

El proveedor de servicios Kaseya recibió un descifrador universal para solucionar el secuestro de información que sufrió el pasado 4 de julio. De esta manera, las víctimas del ataque ransomware, perpetrado por el grupo de ciberdelincuentes REvil, tendrán la facultad de recuperar sus archivos de forma gratuita.

La situación ha generado interés, debido a que hace unos días el grupo desapareció de la dark web, donde también cerraron sus sitios de pago e infraestructura. Esto habría dejado a Kaseya sin la posibilidad de pagar el rescate; sin embargo, la empresa declaró haber recibido la herramienta por parte de un “tercero de confianza”.

Dana Liedholm, vicepresidenta ejecutiva de marketing corporativo de Kaseya, comentó para Bleeping Computer que obtuvieron “un descifrador de un tercero de confianza, pero no podemos compartir más detalles sobre la fuente”. A pesar de ello, sí detallaron que se trata de la clave de descifrado universal, por lo que todos sus clientes pueden acceder a sus archivos.

Ante el cuestionamiento de si Kaseya tuvo que pagar un rescate para obtener el descifrador, Liedholm dijo que “no podían confirmar, ni negar eso”. Por otra parte, la empresa de ciberseguridad Emsisoft también confirmó que ellos trabajaron de la mano con Kaseya, con el objetivo de validar la clave para recuperar la información.

“Estamos trabajando con Kaseya para respaldar sus esfuerzos de participación del cliente. Hemos confirmado que la clave es efectiva para desbloquear víctimas y continuaremos brindando soporte a Kaseya y sus clientes”, declaró Fabian Wosar, CTO de Emsisoft.

Si bien este representa un paso hacia la recuperación de las miles de empresas que fueron afectadas durante el ataque a Kaseya, todavía no está claro cómo se obtuvo la clave después de que REvil desapareciera.

Hasta el momento se han explorado diversas hipótesis en torno a esta situación. Una de ellas apunta a que el gobierno ruso lo haya obtenido directamente de los ciberdelincuentes y posteriormente haya sido entregado a las autoridades de Estados Unidos.

Sin embargo, el FBI no ha ampliado la información en torno al caso, pues dijo estar investigando. “El Departamento de Justicia y el FBI tienen una investigación en curso sobre la empresa criminal detrás de la variante de ransomware REvil y los actores del ataque a Kaseya específicamente. Según la política del Departamento de Justicia, no podemos comentar más sobre esta investigación en curso”, señaló el organismo.

Aunque la desaparición de REvil ha generado interés, esto no significa el final de sus días. En junio de 2019 el grupo GandCrab cerró, pero posteriormente volvió aparecer bajo el nombre de REvil ransomware.

El ataque masivo a Kaseya se dio después de que los cibercriminales explotaran una vulnerabilidad de día cero en la aplicación de administración remota de la empresa, a partir de la cual se cifró a cerca de 60 proveedores de servicios, así como a cerca de 1,500 empresas. Además, exigieron 70 millones de dólares como recompensa.

Derivado de esta situación, la tensión política entre Estados Unidos y Rusia se elevó hasta el punto que los presidentes de ambos países se reunieron en una llamada para tratar el asunto.

“Le dejé muy claro que, cuando una operación de ransomware ocurre desde su territorio, incluso si no está apoyada por el Estado, esperamos que actúe si le proporcionamos suficiente información sobre quién está detrás”, dijo Joe Biden durante una conferencia de prensa.

El mandatario estadounidense, por otra parte, convocó a las empresas líderes de la industria tecnológica, así como miembros de su equipo de seguridad, para discutir sus estrategias de cara a la creciente amenaza de ciberataques que han padecido en los últimos meses. Dicha reunión está programada para el 25 de agosto.