El pasado 2 de julio, salió a la luz que el grupo de ciberdelincuentes especializado en ransomware, REvil, llevó a cabo un gran ataque contra proveedores de servicios gestionados (MSP) y sus respectivos clientes en todo el mundo, lo que provocó que miles de empresas se convirtieran en potenciales víctimas de ransomware. Días después, los investigadores de Kaspersky han detectado más de 5.000 intentos de ataques en Europa, América del Norte y Sudamérica.
REvil, también conocido como Sodinokibi, es uno de los operadores de ransomware como servicio (RaaS) más prolíficos, apareciendo por primera vez en el año 2019, y acaparando numerosos titulares en los últimos meses debido a los objetivos que alcanzó y a sus históricas ganancias mediante el ransomware. En el último ataque, REVil ha infectado a una empresa proveedora de software de gestión de TI para MSP, afectando así a numerosas compañías de todo el mundo. Los atacantes desplegaron una carga maliciosa a través de un script de PowerShell, que, a su vez, fue presumiblemente ejecutado a través del software del proveedor de MSP. Este script deshabilitó las funciones de protección de Microsoft Defender for Endpoint para, posteriormente, descifrar un ejecutable malicioso, que incluía un código binario legítimo de Microsoft, una versión antigua de la solución Microsoft Defender y una biblioteca maliciosa que contenía el ransomware REvil. Utilizando esta combinación de componentes en el cargador, los atacantes pudieron explotar la técnica de carga lateral de DLL y atacar a numerosas empresas.
A través de su Servicio de Inteligencia de Amenazas, Kaspersky ha detectado más de 5.000 intentos de ataque en 22 países diferentes, situándose como los más afectados Italia, con el 45,2% de los intentos de ataque registrados; Estados Unidos, con el 25,91%; Colombia, con el 14,83%; Alemania, con el 3,21%; y México, con el 2,21%.
“Los grupos de ciberdelincuentes dedicados al ransomware y sus socios continúan aumentando su nivel tras los conocidos ataques a Colonial Pipeline y JBS, además de a muchas otras empresas de todo el mundo. En esta ocasión, los operadores de REvil han llevado a cabo un ataque masivo a los MSPs con miles de negocios gestionados en todo el mundo, logrando infectarlos también. Este caso vuelve a poner de manifiesto lo importante que es implementar medidas y soluciones adecuadas de ciberseguridad en todas y cada una de las etapas, lo que incluye a proveedores y socios”, señala Vladimir Kuskov, jefe de Exploración de Amenazas de Kaspersky.
