Blog Widefense

Ciberataque de ransomware REvil afecta a cientos de empresas en EE.UU.

Escrito por Kenneth Daniels | 18-ene-23

Un ataque cibernético afectó las redes de al menos 200 compañías en Estados Unidos, considerado por muchos expertos como “un ataque colosal y devastador”. Los ciberdelincuentes ingresaron a los dispositivos a través de un atentado ransomware REvil, bloqueando los sistemas con la finalidad de que las compañías se vean obligadas a pagar un rescate para recuperar sus datos confidenciales. 

El hackeo masivo se realizó a la compañía de tecnología informática Kaseya, para propagarlo a través de las redes corporativas que utilizan su software. Mencionaron a través de un comunicado, que se encontraban realizando las respectivas investigaciones para hallar a los culpables de este “ataque potencial”.

De acuerdo a investigaciones, se presume que este ataque REvil, proviene de una importante agrupación de ransomware de habla rusa. Debido a que Kaseya maneja grandes y pequeñas empresas a nivel mundial, aprovecharon en atacarlos para propagarse a toda esta red de negocios de manera más sencilla. El vector de infección puede alterarse, mediante campañas de phishing, ataques de fuerza bruta para comprometer RDP, o a través de vulnerabilidades de software.

¿Cómo funciona un ataque ransomware REvil?

Este malware funciona como un ransomware-as-a-Service (RaaS) y se ha identificado que mantiene muchas semejanzas y reutilización de códigos con otro grupo RaaS llamado GandCrab, abriendo las posibilidades que sean los mismos desarrolladores. REvil depende de afiliados o socios para realizar estos ataques, ya que reciben un porcentaje de todos los ingresos de los pagos de rescate.

Al comienzo, REvil elige la máquina de destino y recopila la información del sistema. Para asegurarse de cifrar los archivos importantes de la víctima, elimina servidores de base de datos, aplicación de Microsoft Office, instantáneas y más, para evitar una fácil recuperación. Se crea una clave de registro para ejecutar con el inicio de Windows en: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\aDTFUAIa7j

Este ransomware crea una clave de registro para ejecutar con el inicio de Windows. Una vez que la clave de registro esté creada, el malware crea una exclusión mutua para asegurarse de que es el único medio en ejecución: «Global\8C39F091-3A8D-46F4-DBC5-DDA17B3C63C2». Si se genera otra petición, saldrá un mensaje de error.

REvil enumera los archivos en el sistema y a lo largo del cifrado, añade una extensión alfanumérica aleatoria entre 5 a 10 caracteres de longitud. Se deja una nota de rescate, con el mismo nombre usado en las extensiones de archivo, con la descripción “léame.txt”, va en todos los dispositivos afectados.

Para el cifrado de archivos utiliza curve25519/Salsa20 y para el cifrado de clave es urve25519/AES-256-CTR. Se visualiza una imagen de .bmp que está colocada en el escritorio %Temp%, manteniéndose de fondo para informar al usuario que sus archivos han sido cifrados.

Para realizar el rescate, se proporcionan dos URL, una que se puede acceder con el navegador TOR y un enlace secundario que se utiliza si TOR está bloqueado en la ubicación del usuario.

La nota de rescate brinda la clave para entrar después de navegar a cualquiera de las páginas webs. El rescate se puede cancelar en Monero o Bitcoin, si se procede en la última plataforma tiene un costo de aumento del 10%.

Te podría interesar: Ataque cibernético a Colonial Pipeline, la mayor red de oleoductos de EE.UU.

¿Cómo los ataques ransomware REvil son un potencial peligro para tu organización?

Los ataques ransomware se han convertido en un gran golpe para las organizaciones, ya que acceden a las redes informáticas para mantenerlas como rehenes a cambio de dinero. Sufrir un atentado como éste, tomaría mucho tiempo y esfuerzo recuperar del todo a una organización, además de verse afectada su reputación.

El ataque a Kaseya ha demostrado que, al infectar un proveedor de software de múltiples compañías, puede utilizarse para infiltrar a cientos de víctimas en un solo paso. Hasta el momento se puede considerar que este ha sido el mayor incidente de ransomware hacia una cadena de suministro.

Protege a tu organización con BlackBerry Cylance

Los ataques informáticos se han convertido en un negocio muy rentable para los ciberdelincuentes, ya que pueden lucrar con la información valiosa de sus víctimas. Por este motivo es necesario que tu organización junto a tus colaboradores, cuenten con un equipo de protección que permita mantener todos los dispositivos protegidos. En Widefense contamos con soluciones de última generación que pueden ayudar con este problema, una de ellas es BlackBerry Cylance.

BlackBerry Cylance

BlackBerry Cylance utiliza la inteligencia artificial para hacer frente a las amenazas desde su primer día de uso. Esto se debe a que utiliza algoritmos que previenen hasta con 36 meses de anticipación los ciberataques, mediante un enfoque único que ayuda a abaratar costos y proteger datos claves de las organizaciones. Ofreciendo protección a todos los endpoints incluyendo dispositivos móviles.

Conéctate sin miedo

Vive la ciberseguridad sin miedo. Conversa con uno de nuestros especialistas de ciberseguridad en contacto@widefense.com, agenda una asesoría en Chile +56 9 7569 9259 o Colombia +57 3155 097 765 o escríbenos vía WhatsApp.

Además, nos encontramos en Instagram y Facebook como @Widefense.