El 2 de julio salió a la luz que el grupo de ciberdelincuentes especializado en ransomware, REvil, llevó a cabo un gran ataque contra proveedores de servicios gestionados (MSP) y sus respectivos clientes en todo el mundo, lo que provocó que miles de empresas se convirtieran en potenciales víctimas. Días después, los investigadores de Kaspersky han detectado más de 5.000 intentos de ataques en Europa, América del Norte y Sudamérica.

REvil, también conocido como Sodinokibi, es uno de los operadores de ransomware más prolíficos, apareciendo por primera vez en el año 2019, y acaparando numerosos titulares en los últimos meses debido a los objetivos que alcanzó y a sus históricas ganancias mediante sus ciberataques.

En el último, REVil ha infectado a una empresa proveedora de software de gestión de TI para MSP, afectando así a numerosas compañías de todo el mundo. Los atacantes desplegaron una carga maliciosa a través de un script de PowerShell, que, a su vez, fue presumiblemente ejecutado a través del software del proveedor de MSP. Este script deshabilitó las funciones de protección de Microsoft Defender for Endpoint para, posteriormente, descifrar un ejecutable malicioso, que incluía un código binario legítimo de Microsoft, una versión antigua de la solución Microsoft Defender y una biblioteca maliciosa que contenía el ransomware REvil. Utilizando esta combinación de componentes en el cargador, los atacantes pudieron explotar la técnica de carga lateral de DLL y atacar a numerosas empresas.

A través de su Servicio de Inteligencia de Amenazas, Kaspersky ha detectado más de 5.000 intentos de ataque en 22 países diferentes, situándose como los más afectados Italia, con el 45,2% de los intentos de ataque registrados; Estados Unidos, con el 25,91%; Colombia, con el 14,83%; Alemania, con el 3,21%; y México, con el 2,21%.

«Los grupos de ciberdelincuentes dedicados al ransomware y sus socios continúan aumentando su nivel tras los conocidos ataques a Colonial Pipeline y JBS, además de a muchas otras empresas de todo el mundo. En esta ocasión, los operadores de REvil han llevado a cabo un ataque masivo a los MSPs con miles de negocios gestionados en todo el mundo, logrando infectarlos también. Este caso vuelve a poner de manifiesto lo importante que es implementar medidas y soluciones adecuadas de ciberseguridad en todas y cada una de las etapas, lo que incluye a proveedores y socios», señala Vladimir Kuskov, jefe de Exploración de Amenazas de Kaspersky.

Kaspersky ofrece protección contra esta amenaza detectándola con los siguientes nombres:

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.Gen.gen
• Trojan-Ransom.Win32.Sodin.gen
• Trojan-Ransom.Win32.Convagent.gen
• PDM: Trojan.Win32.Generic (with Behavior Detection)

Recomendaciones

Con el objetivo de que las empresas se mantengan protegidas de los ataques de ransomware, los expertos de Kaspersky recomiendan lo siguiente:

• Utilizar una solución de seguridad de confianza para los endpoints, que cuenta con prevención de exploits, detección de comportamientos y un motor de remediación capaz de revertir las acciones maliciosas, y mecanismos de autodefensa
• No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilizar siempre contraseñas seguras para ellos.
• Instalar rápidamente los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en su red;
• Mantener siempre actualizado el software en todos los dispositivos que utilice para evitar que el ransomware aproveche las vulnerabilidades;
• Centrar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Hacer copias de seguridad de los datos regularmente. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cuando sea necesario. Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las tácticas, técnicas y procedimientos utilizadas por los actores de las amenazas actualmente.
• Utilizar soluciones  que ayuden a identificar y detener un ataque en las primeras etapas, antes de que los atacantes logren sus objetivos finales.
• Proteger el entorno corporativo y formar a los empleados.