Un grupo misterioso y no identificado de piratas informáticos ha tratado de paralizar las redes informáticas de casi 5000 víctimas en los EE. UU. y Europa, en uno de los ataques de ransomware más generalizados registrados.
La unidad de piratería, inicialmente apodada Nevada Group por los investigadores de seguridad, comenzó una serie de ataques que comenzaron hace unas tres semanas al explotar una vulnerabilidad fácilmente reparable en una pieza de código que es omnipresente en los servidores de la nube.
El Financial Times contactó a varias víctimas identificadas a partir de la información disponible públicamente. La mayoría se negó a comentar, diciendo que las fuerzas del orden les habían pedido que lo hicieran. Incluyen universidades en los EE. UU. y Hungría, grupos de construcción y envío en Italia y fabricantes en Alemania.
Las autoridades aún tienen que identificar a los perpetradores, y solo adivinan por sus anuncios de reclutamiento en la web que se trata de una mezcla de piratas informáticos rusos y chinos.
Los piratas informáticos exigieron un rescate sorprendentemente pequeño para liberar su dominio sobre las redes informáticas, tan solo dos bitcoins (alrededor de $ 50,000) en algunos casos, según copias de sus notas de ransomware que fueron visibles brevemente. Por el contrario, una banda rival exigió 80 millones de dólares al Royal Mail del Reino Unido en otro ataque reciente y de alto perfil.
Esta facilidad con la que este nuevo grupo se ha extendido por vastas franjas de la infraestructura de Internet de Occidente subraya la naturaleza de gran parte del ransomware que amenaza a las empresas de todo el mundo. La mayoría de los ataques son relativamente simples, generan pequeñas sumas y, a menudo, pasan desapercibidos.
En una escena que presenta pandillas de ransomware rivales y, a menudo, enemistadas, este recién llegado desconocido es “una nueva amenaza sólida en nuestro panorama en el futuro cercano”, dijo Shmuel Gihon, del grupo de seguridad cibernética israelí CyberInt.
Advirtió que la simplicidad y la amplitud del ataque podrían generar imitadores. “La escala de esta campaña es una de las más grandes que hemos visto (y dado que está en curso), el verdadero problema es que los grupos de veteranos ven el daño potencial que pueden causar”.
La campaña de ransomware ahora se conoce como ESXiArgs, después de la laguna que explota, aunque existe cierta confusión sobre si él y Nevada Group son iguales o se copian entre sí.
En febrero de 2021, el grupo estadounidense de software en la nube VMware encontró una vulnerabilidad que permitiría a los piratas informáticos obtener acceso a las redes informáticas que ejecutan su software y lanzó un parche que solucionaría el problema.
Dos años más tarde, los piratas informáticos de ESXiArgs encontraron una manera de escanear Internet para encontrar clientes de VMware que, ya sea por incompetencia, pereza o simple ignorancia, aún tenían que parchear sus redes y tomaron el control de miles de ellas.
VMware se negó a comentar más que a los enlaces de correo electrónico a un Blog ofreciendo asesoramiento técnico.
El mayor número de víctimas se agrupa en Francia, y se sabe que 2.000 han sido atacadas solo en ese país. En su mayoría, se trata de redes alojadas en el servicio más barato vendido por el mayor proveedor de nube de Europa, OVHcloud, y a las que se accede mediante el producto de VMware. OVHcloud dijo que estaba brindando soporte técnico a sus clientes y cooperando con las fuerzas del orden.
En OVHcloud, las redes comprometidas estaban en un grupo de clientes que habían alquilado «servidores bare-metal», esencialmente copias espejo de los datos que las empresas solían mantener en el sitio, sin ningún servicio de ciberseguridad adicional, lo que significa que tendrían que ser individualmente parcheado
“Lleva un máximo de unas pocas horas hacer esto en la mayoría de los entornos, tal vez un fin de semana para una red complicada o antigua”, dijo un ingeniero de TI que estaba ayudando a un grupo francés a recuperarse, hablando bajo condición de anonimato. «Por qué no se hizo es una suposición fácil».
Muchos no estaban parcheados, lo que los hacía vulnerables al malware, según una persona familiarizada con las investigaciones de OVHcloud.
“Es un servidor muy simple. Hace décadas, tal vez tenía uno en su edificio y luego simplemente copiaba esos datos en la nube, pero seguía usándolos de la misma manera”, dijo la persona.
Por razones que los investigadores aún no entienden completamente, los atacantes dejaron sus notas de rescate visibles públicamente, en lugar de ocultarlas dentro de la red, con billeteras de bitcoin rastreables públicamente.
Eso ha permitido a los investigadores de Censys, una compañía que ayuda a otros a reducir su vulnerabilidad a la piratería, rastrear a 4468 posibles víctimas, con Francia, EE. UU., Reino Unido y Alemania constituyendo la gran mayoría.
Una semana después de los ataques, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) lanzó una solución provisional relativamente simple que permitió a algunas víctimas recuperar el acceso a sus datos.
En cuestión de horas, los atacantes modificaron su malware, debilitando la solución por completo y atrapando a cientos de víctimas más.
“Ha sido interesante ver a los actores detrás de esto responder casi en tiempo real a las mitigaciones e investigaciones proporcionadas por la comunidad de seguridad”, dijo Censys. “El momento de estos cambios habla de la capacidad del actor”.
CISA dijo que “está trabajando con nuestros socios del sector público y privado para evaluar los efectos de estos incidentes informados y brindar asistencia donde sea necesario”.