La Agencia oficial de Seguridad de Infraestructura y Ciberseguridad (CISA) ha reconocido que no tiene pruebas de que el grupo de hackers basados en Rusia actúen coordinados con el Kremlin, y ellos han declarado además no tener motivaciones políticas.
Los atacantes aprovecharon una vulnerabilidad en un software llamado "MOVEit", que es ampliamente usado por organizaciones de todo tipo para encriptar archivos y transferir datos de forma segura.
“El software en sí es utilizado por diferentes organizaciones que van desde los servicios financieros hasta la atención médica, el gobierno y las fuerzas armadas. Entonces, naturalmente, si el grupo encontró esta vulnerabilidad y tuvo tiempo de explotarla, tendrá una variedad muy amplia de víctimas”, explicó en una entrevista a EFE Satnam Narang, ingeniero sénior de investigación en la firma de ciberseguridad Tenable.
Lea más: “Ransomware”, el potente ciberataque que tiene en alerta a América
Narang destacó que se está produciendo un "efecto bola de nieve": "A medida que pasa el tiempo, la bola de nieve se hace más grande. Vamos a descubrir cada vez más quiénes son estas víctimas, porque, naturalmente, algunas de las víctimas saldrán y lo reconocerán, pero no todas lo harán público".
En las últimas 24 horas la cantidad de víctimas afectadas anunciadas por los piratas pasaron de 26 a 63, según compartió en las redes Brett Callow, analista de amenazas de Emsisoft.
Los piratas detrás del ataque
Detrás del ciberataque se encuentra el grupo CL0p, que tiene su base de operaciones en Rusia, dijo el jueves en declaraciones a la prensa un alto cargo del Gobierno estadounidense.
De acuerdo con Narang, CL0p comenzó alrededor de 2019 y son una variante de otro programa maligno o ransomware conocido como CryptoMix.
El grupo había dado a las víctimas de plazo hasta el miércoles para que les contactasen sobre el pago de un rescate.
En un comunicado escrito en letras mayúsculas rojas y publicado en una página de la dark web -conjunto oculto de sitios de internet a los que sólo se puede acceder mediante un navegador web especializado- CL0p destacó hoy que no les "importa nada la política" y sólo están "motivados financieramente".
"Queremos recordar a todas las empresas que si ponen datos en internet donde no hay protección, no nos culpen", se lee en el texto de CL0p que fue compartido por Callow.
CL0p borró los datos del gobierno
Ayer, en otro mensaje, los piratas advirtieron a los organismos hackeados de carácter oficial (citaron "un servicio del gobierno, de la ciudad o de la policía") de que no necesitaban ponerse en contacto con ellos, pues ya habían "borrado todos sus datos" y no tenían "ningún interés en exponer dicha información”.
La razón de este mensaje, según Narang, es que si atacan abiertamente a estos organismos "básicamente están jugando con fuego".
"Cuando comienzas a apuntar a entidades como gobiernos, ciudades, policía, hospitales, atraes la atención de las agencias gubernamentales de todo el mundo y, entonces, pueden imaginarse a Estados Unidos, el Reino Unido, Australia, Nueva Zelanda con los ojos puestos en CL0p y si ven que han tenido este impacto en algunas de sus organizaciones, van a movilizar aún más sus esfuerzos para tratar de perseguir a estos grupos de ransomware", recalca el experto.
Recompensa de millones de dólares
En lo referente al dinero que está pidiendo el grupo a las víctimas, Narang destaca que a diferencia de otros hackeadores CL0p no suele hacer pública esta información.
"Invitan a sus víctimas a contactarlos por correo electrónico o un enlace dedicado exclusivamente a la víctima. Luego, la organización afectada va a un chat donde negocia con representantes de CL0p. La cantidad de dinero dependiendo del tamaño del negocio, puede variar de 50.000 dólares, a 300.000 o a varios millones".
Revisión del Software
Ipswitch, la empresa que desarrolló ese software hackeado, dio detalles el 5 de junio en un comunicado de la vulnerabilidad que se había descubierto en “MOVEit” y anunció que había abierto una investigación, además de estar trabajando con sus clientes para evitar cualquier daño.
Narang sugiere a las empresas que usan este tipo de tecnología que "hagan una pausa y revisen su software".
“Correctamente, haga algún tipo de auditoría de seguridad para determinar si hay o no vulnerabilidades. Si CL0p ha logrado explotar con éxito las vulnerabilidades en tres tipos de transferencia de archivos, se puede garantizar que van a apuntar a otra (vulnerabilidad) en los próximos seis meses”.