El ataque de ransomware se limitó a un pequeño número de clientes, dice Kaseya

La empresa de gestión de software con sede en Florida Kaseya confirmó el 5 de julio que había sido blanco de un ataque de ransomware, pero dijo que los impactos probablemente se localizaron solo en un número muy pequeño de clientes.

En una actualización a última hora del lunes, Kaseya dijo que su software VSA «lamentablemente ha sido víctima de un sofisticado ciberataque».

«Debido a la rápida respuesta de nuestros equipos, creemos que esto se ha limitado solo a un número muy pequeño de clientes», dijo la compañía en un comunicado en su página web.

Kaseya es una empresa que proporciona herramientas de software a los talleres de subcontratación de TI (empresas que suelen encargarse del trabajo de back-office para compañías demasiado pequeñas o con pocos recursos para tener sus propios departamentos de tecnología).

Kaseya alertó por primera vez a sus clientes a las 2 p.m. EDT del viernes sobre un «ataque potencial» contra su software VSA. Enviaron una alerta urgente a los clientes, diciéndoles que tomaran inmediatamente medidas para protegerse del ataque.

«Estamos experimentando un ataque potencial contra el VSA que se ha limitado a un pequeño número de clientes on-premise», decía la alerta inicial.

En su último anuncio, Kaseya dijo que actualmente tiene conocimiento de que unos 60 clientes, todos los cuales utilizaban el producto VSA on-premise, se vieron directamente comprometidos por el ataque de ransomware de la semana pasada.

«Aunque muchos de estos clientes prestan servicios de TI a otras múltiples empresas, entendemos que el impacto total hasta ahora se ha reducido a menos de 1500 negocios derivados», dijo la firma. «No hemos encontrado pruebas de que ninguno de nuestros clientes de SaaS se haya visto comprometido».

VSA es el único producto de Kaseya afectado por el ataque, dijo, y añadió que espera volver a poner en internet sus servidores SaaS el 6 de julio entre las 2 p.m. y las 5 p.m. EDT.

Kaseya tiene 40,000 clientes, pero no todos utilizan la herramienta afectada.

La empresa advirtió que todos los servidores VSA on-premises seguirían sin conexión hasta que publicara más instrucciones sobre cuándo es seguro restablecer las operaciones.

Señaló que la dirección se había reunido desde entonces con el FBI y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) para discutir los requisitos de endurecimiento de los sistemas y la red antes de la restauración del servicio tanto para los clientes de SaaS como para los on-premises.

Kaseya también dijo que sus expertos externos aconsejaron a sus clientes que experimentaron el ransomware y recibieron comunicaciones de los atacantes que no hicieran clic en ningún enlace, ya que podría ser un arma.

El presidente Joe Biden, cuando los periodistas le preguntaron el sábado si Rusia estaba detrás del ciberataque, dijo que «no está seguro».

«La idea inicial era que no era el gobierno ruso», dijo.

El presidente añadió que ha ordenado a las agencias de inteligencia estadounidenses que investiguen quién estuvo detrás del hackeo, y añadió que Estados Unidos responderá en consecuencia si hay actores del gobierno ruso involucrados.

La empresa de seguridad Huntress Labs dijo el viernes que creía que la principal banda de ransomware de habla rusa, REvil, estaba detrás del ataque.

También conocido como Sodinokibi, REvil estuvo detrás del ataque de ransomware que interrumpió las operaciones de JBS Foods el 30 de mayo, según el FBI.

Hace unos meses, el prolífico grupo de ransomware también estuvo detrás de un ataque a un proveedor de Apple Inc. llamado Quanta Computer. Anteriormente ha comercializado los datos robados en foros de ciberdelincuencia en ruso.

Con información de Reuters.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí