Cómo Kaseya recuperó la información tras el ciberataque de REvil

Ante el cuestionamiento de si Kaseya tuvo que pagar un rescate para obtener el descifrador, Liedholm dijo que “no podían confirmar, ni negar eso”. Por otra parte, la empresa de ciberseguridad Emsisoft también confirmó que ellos trabajaron de la mano con Kaseya, con el objetivo de validar la clave para recuperar la información.

“Estamos trabajando con Kaseya para respaldar sus esfuerzos de participación del cliente. Hemos confirmado que la clave es efectiva para desbloquear víctimas y continuaremos brindando soporte a Kaseya y sus clientes”, declaró Fabian Wosar, CTO de Emsisoft.

Si bien este representa un paso hacia la recuperación de las miles de empresas que fueron afectadas durante el ataque a Kaseya, todavía no está claro cómo se obtuvo la clave después de que REvil desapareciera.

Hasta el momento se han explorado diversas hipótesis en torno a esta situación. Una de ellas apunta a que el gobierno ruso lo haya obtenido directamente de los ciberdelincuentes y posteriormente haya sido entregado a las autoridades de Estados Unidos.

Sin embargo, el FBI no ha ampliado la información en torno al caso, pues dijo estar investigando. “El Departamento de Justicia y el FBI tienen una investigación en curso sobre la empresa criminal detrás de la variante de ransomware REvil y los actores del ataque a Kaseya específicamente. Según la política del Departamento de Justicia, no podemos comentar más sobre esta investigación en curso”, señaló el organismo.

Aunque la desaparición de REvil ha generado interés, esto no significa el final de sus días. En junio de 2019 el grupo GandCrab cerró, pero posteriormente volvió aparecer bajo el nombre de REvil ransomware.

El ataque masivo a Kaseya se dio después de que los cibercriminales explotaran una vulnerabilidad de día cero en la aplicación de administración remota de la empresa, a partir de la cual se cifró a cerca de 60 proveedores de servicios, así como a cerca de 1,500 empresas. Además, exigieron 70 millones de dólares como recompensa.

Derivado de esta situación, la tensión política entre Estados Unidos y Rusia se elevó hasta el punto que los presidentes de ambos países se reunieron en una llamada para tratar el asunto.

“Le dejé muy claro que, cuando una operación de ransomware ocurre desde su territorio, incluso si no está apoyada por el Estado, esperamos que actúe si le proporcionamos suficiente información sobre quién está detrás”, dijo Joe Biden durante una conferencia de prensa.

El mandatario estadounidense, por otra parte, convocó a las empresas líderes de la industria tecnológica, así como miembros de su equipo de seguridad, para discutir sus estrategias de cara a la creciente amenaza de ciberataques que han padecido en los últimos meses. Dicha reunión está programada para el 25 de agosto.