{"id":2872,"date":"2021-07-06T12:02:02","date_gmt":"2021-07-06T17:02:02","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2872"},"modified":"2021-07-06T12:19:23","modified_gmt":"2021-07-06T17:19:23","slug":"ransomware-revil-afecta-mas-de-1-millon-de-sistemas-en-el-mundo-incluida-colombia","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/ransomware-revil-afecta-mas-de-1-millon-de-sistemas-en-el-mundo-incluida-colombia\/","title":{"rendered":"Ransomware REvil afecta m\u00e1s de 1 mill\u00f3n de sistemas en el mundo incluida Colombia"},"content":{"rendered":"\n<p>El grupo REvil afirm\u00f3 en una publicaci\u00f3n en su sitio de la Dark web, que utiliza para divulgar informaci\u00f3n sobre sus v\u00edctimas, que m\u00e1s de <strong>un mill\u00f3n de sistemas <\/strong>fueron comprometidos y que ofrecen un descifrador para todas las v\u00edctimas del ataque de Kaseya por <strong>70 millones de d\u00f3lares<\/strong>.<\/p>\n\n\n\n<p>REvil \/ Sodinokibi ha sido uno de los grupos de ransomware como servicio (RaaS) m\u00e1s prol\u00edficos en los \u00faltimos dos a\u00f1os enfocado en sistemas Windows cuya propagaci\u00f3n sigue el modelo&nbsp;<em>RaaS<\/em> es decir, c\u00f3digo malicioso que se comercializa de forma personalizada, ajust\u00e1ndose a las necesidades de cada uno de los suscriptores.<\/p>\n\n\n\n<p>Desde su aparici\u00f3n en el 2019 REvil \/ Sodinokibi a infectado cerca de 500,000 empresas a nivel mundial. Empresas como <strong>Travelex<\/strong> (Londres),&nbsp;<strong>CivicSmart<\/strong> (USA),&nbsp;<strong>BancoEstado<\/strong> (Chile), <strong>Acer <\/strong>(Taiwan) entre otras han sido victimas de REvil. Por ejemplo Acer en 2020 despu\u00e9s del ataque,&nbsp;REvil hab\u00eda exigido 50 millones de d\u00f3lares por el rescate de su informaci\u00f3n. <\/p>\n\n\n\n<p>En abril de 2021, seg\u00fan del blog de la organizaci\u00f3n cibercriminal REvil, Happy Blog (<a rel=\"noreferrer noopener\" href=\"http:\/\/dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion\/\" target=\"_blank\">http:\/\/dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion\/<\/a>) se conoci\u00f3 que <strong>se habr\u00edan hecho con los planos completos de fabricaci\u00f3n de MacBook Air, MacBook Pro y Apple Watch<\/strong> que se encontraban en la infraestructura de <strong>Quanta<\/strong>, un importante fabricante y proveedor de Apple, pero tambien de importantes fabricantes como Dell, Hewlett-Packard Inc., Alienware, Amazon, Cisco, Fujitsu, Gericom, Lenovo, LG, Maxdata, Microsoft, MPC, BlackBerry Ltd, Sharp Corp., Siemens AG, Sony, Sun Microsystems, Toshiba, Verizon Wireless y Vizio.&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-7.png\"><img data-opt-id=37956315  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-7.png\" alt=\"\" class=\"wp-image-2881\" width=\"626\" height=\"625\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:483\/h:482\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-7.png 483w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-7.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:150\/h:150\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-7.png 150w\" sizes=\"(max-width: 626px) 100vw, 626px\" \/><\/a><\/figure>\n\n\n\n<p>Ahora con un ataque masivo del&nbsp;ransomware&nbsp;REvil \/ Sodinokibi, afect\u00f3 a m\u00e1s de 1.000 compa\u00f1\u00edas en al menos 17 pa\u00edses del mundo mediante un ataque de cadena de suministro utilizando un instalador de una actualizaci\u00f3n autom\u00e1tica del software de gesti\u00f3n de IT de la compa\u00f1\u00eda Kaseya, que es utilizado com\u00fanmente por proveedores de servicios administrados.&nbsp;Un proveedor de servicios administrados (MSP, por sus siglas en ingl\u00e9s) es una empresa que ofrece servicios de gesti\u00f3n de tecnolog\u00eda de la informaci\u00f3n (IT) de manera remota. En este caso, la actualizaci\u00f3n con permisos de administrador afect\u00f3 a los MSP y estos a su vez infectaron los sistemas de sus clientes con la amenaza, como fue el caso de una&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.itnews.com.au\/news\/cyber-attack-against-kaseya-forces-swedish-chain-to-close-800-stores-566869\" target=\"_blank\">cadena de supermercados en Suecia<\/a>&nbsp;que tuvo que cerrar algunas tiendas y al menos&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.stuff.co.nz\/national\/education\/300349325\/global-cyber-attack-hits-11-kiwi-schools-using-kaseya-systems\" target=\"_blank\">11 escuelas en Nueva Zelanda<\/a>.<\/p>\n\n\n\n<p>Luego de los ataques a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio \u2014que involucraron la explotaci\u00f3n de una vulnerabilidad zero-day que estaba en proceso de ser reparada\u2014, seg\u00fan datos de la telemetr\u00eda de ESET se detectaron v\u00edctimas del ransomware REvil relacionadas con este ataque en: Reino Unido, Sud\u00e1frica, Canad\u00e1, Alemania, Estados Unidos, <strong>Colombia<\/strong>, Suecia, Kenia, Argentina, M\u00e9xico, Holanda, Indonesia, Jap\u00f3n, Mauritania, Nueva Zelanda, Espa\u00f1a y Turqu\u00eda.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image.png\"><img data-opt-id=1996946898  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image.png\" alt=\"\" class=\"wp-image-2873\" width=\"613\" height=\"629\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:540\/h:554\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image.png 540w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:292\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image.png 292w\" sizes=\"(max-width: 613px) 100vw, 613px\" \/><\/a><\/figure>\n\n\n\n<p>ESET a\u00f1adi\u00f3 detecci\u00f3n de esta variante de la ransomware como Win32 \/ Filecoder.Sodinokibi.N troyano el 2 de julio&nbsp;<sup>nd<\/sup>&nbsp;&nbsp;a 15:22 (EDT; UTC-04: 00).&nbsp;Esta detecci\u00f3n incluye tanto el cuerpo principal del ransomware como las DLL que descarga.&nbsp;<\/p>\n\n\n\n<p>Kaseya, compa\u00f1\u00eda que cuenta con aproximadamente 40.000 clientes, explic\u00f3 en su&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/helpdesk.kaseya.com\/hc\/en-gb\/articles\/4403440684689-Important-Notice-July-2nd-2021\" target=\"_blank\">sitio web<\/a>&nbsp;\u2014el cual ha ido actualizando\u2014 que notific\u00f3 a las personas potencialmente afectadas con la recomendaci\u00f3n de cerrar posibles servidores VSA de manera inmediata hasta tanto se publique el parche. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png\"><img data-opt-id=329964957  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:664\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png\"  decoding=\"async\" width=\"1024\" height=\"664\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%201024%20664%22%20width%3D%221024%22%20height%3D%22664%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%221024%22%20height%3D%22664%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2877\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:664\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png 1024w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:195\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:498\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:539\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png 830w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1082\/h:702\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-4.png 1082w\" \/><\/a><\/figure>\n\n\n\n<p>Sin embargo, para muchas empresas hab\u00eda sido tarde y fueron afectadas por el ransomware que cifr\u00f3 su informaci\u00f3n.<\/p>\n\n\n\n<figure class=\"wp-block-pullquote\"><blockquote><p>Si bien mucho de los productos de seguridad detectan este malware, hubo un desfase entre el momento en que los servidores comprometidos se vieron afectados por los ataques y el momento en que los equipos de soporte y el software pudieron responder, lo que provoc\u00f3 que las primeras infecciones tuvieran tiempo de hacer su da\u00f1o,&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.welivesecurity.com\/2021\/07\/03\/kaseya-supply-chain-attack-what-we-know-so-far\/\" target=\"_blank\">explicaron<\/a>&nbsp;los especialistas de ESET Aryeh Goretsky y Cameron Camp.<\/p><\/blockquote><\/figure>\n\n\n\n<p>Una vez que el ransomware cifra la informaci\u00f3n el fondo del escritorio cambia a una imagen como la que se aprecia en la siguiente Imagen<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/07\/Figure-2.png\"><img data-opt-id=2045946403  data-opt-src=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/07\/Figure-2.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"Figure 2. System wallpaper is changed to an image like this\" class=\"wp-image-152382\"\/><\/a><figcaption>Fondo del escritorio del equipo comprometido.<\/figcaption><\/figure><\/div>\n\n\n\n<p><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/07\/Figure-2b.-System-wallpaper-is-changed-to-an-image-like-this.png\"><\/a><\/p>\n\n\n\n<p>El archivo README.TXT, que contiene la nota de los atacantes es aleatoria.<a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/07\/Figure-3.-The-ransom-note.png\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-1.png\"><img data-opt-id=109940982  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-1.png\"  loading=\"lazy\" decoding=\"async\" width=\"762\" height=\"724\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2874\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:762\/h:724\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-1.png 762w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:285\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-1.png 300w\" \/><\/a><figcaption>Nota del rescate.<\/figcaption><\/figure>\n\n\n\n<p>Seg\u00fan&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack\/\" target=\"_blank\">reportes<\/a>&nbsp;del 3 de julio son cerca de 1.000 las compa\u00f1\u00edas afectadas en este ataque de cadena de suministro y est\u00e1n trabajando con la mayor rapidez posible para contener el ataque y notificar a los equipos de TI.<\/p>\n\n\n\n<p>El pago solicitado a cada v\u00edctima de este ataque es distinto para cada caso, llegando a 5 millones de d\u00f3lares el monto m\u00e1s elevado que algunos investigadores aseguran haber visto. Como muchas veces hemos mencionado, los montos solicitados por los atacantes var\u00edan de acuerdo con la empresa afectada, siendo generalmente las cifras m\u00e1s elevadas exigidas a compa\u00f1\u00edas que cuentan con mayores ganancias.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-2.png\"><img data-opt-id=1630602692  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-2.png\"  loading=\"lazy\" decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2875\" width=\"615\" height=\"807\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:538\/h:706\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-2.png 538w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:229\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-2.png 229w\" \/><\/a><\/figure>\n\n\n\n<p>Seg\u00fan explica el sitio&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/revil-is-increasing-ransoms-for-kaseya-ransomware-attack-victims\/\" target=\"_blank\">BleepingComputer<\/a>, este ataque de REvil solo cifr\u00f3 los archivos de las v\u00edctimas y no rob\u00f3 informaci\u00f3n previo al cifrado para extorsionar a las v\u00edctimas que no paguen con filtrar la informaci\u00f3n secuestrada, algo que&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.welivesecurity.com\/la-es\/2020\/05\/29\/ransomware-filtracion-informacion-tendencia-consolido-2020\/\" target=\"_blank\">suele hacer este ransomware as\u00ed como otras bandas<\/a>.&nbsp;Adem\u00e1s, el hecho de que no se hubiera robado informaci\u00f3n sugiere que los atacantes no accedieron a la red de la victima, sino que abusaron de la vulnerabilidad de Kaseya VSA para distribuir y ejecutar el malware.<\/p>\n\n\n\n<p>En las \u00faltimas horas el grupo REvil public\u00f3 en su sitio de la dark web que ofrece a las v\u00edctimas de Kaseya un descifrador para que puedan recuperar los archivos del cifrado a cambio de 70 millones de d\u00f3lares. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png\"><img data-opt-id=1835719298  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png\"  loading=\"lazy\" decoding=\"async\" width=\"954\" height=\"315\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2876\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:954\/h:315\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png 954w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:99\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:254\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:274\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-3.png 830w\" \/><\/a><figcaption>Nota que dej\u00f3 el grupo REvil<\/figcaption><\/figure>\n\n\n\n<p>Seg\u00fan el grupo, m\u00e1s de un mill\u00f3n de sistemas fueron comprometidos. Sin embargo, los operadores detr\u00e1s del grupo parecen abiertos a&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/twitter.com\/jackhcable\/status\/1411906687968161792\" target=\"_blank\">negociar por un precio m\u00e1s bajo el descifrador<\/a>.<a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/07\/rescate-ransomware-revil-kaseya.png\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-6.png\"><img data-opt-id=2091312939  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-6.png\"  loading=\"lazy\" decoding=\"async\" width=\"637\" height=\"467\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2880\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:637\/h:467\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-6.png 637w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:220\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-6.png 300w\" \/><\/a><\/figure>\n\n\n\n<p>Por su parte, el instituto holand\u00e9s para la divulgaci\u00f3n de vulnerabilidades (DIVD, por sus siglas en ingl\u00e9s) que fue quien&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/twitter.com\/DIVDnl\/status\/1411688696697470981\" target=\"_blank\">descubri\u00f3 la zero-day<\/a>&nbsp;y la report\u00f3 a Kaseya,&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/csirt.divd.nl\/2021\/07\/04\/Kaseya-Case-Update-2\/\" target=\"_blank\">public\u00f3 informaci\u00f3n<\/a>&nbsp;el 4 de julio en la que afirma que en las \u00faltimas 48 horas el n\u00famero de instancias de Kaseya VSA a las cuales se puede acceder desde Internet baj\u00f3 de 2.200 a menos de 140.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Como funciona REVIL \/ SODINOKIBI<\/h3>\n\n\n\n<p>En la siguiente imagen se muestra como funciona el ransomware REVIL \/ SODINOKIBI a nivel general, el cual tuvo su aparici\u00f3n en abril de 2019 y que se caracteriza por robar la informaci\u00f3n antes de cifrarla y pedir el rescate.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-5.png\"><img data-opt-id=1019481668  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-5.png\"  loading=\"lazy\" decoding=\"async\" width=\"608\" height=\"463\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2879\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:608\/h:463\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-5.png 608w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:228\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-5.png 300w\" \/><\/a><\/figure>\n\n\n\n<p>Se recomienda que aquellas empresas que tienen servidores que pueden haber sido comprometidos por este ataque que se mantengan informadas y que apaguen las m\u00e1quinas potencialmente vulnerables o que al menos las a\u00edslen de la red hasta que aparezca m\u00e1s informaci\u00f3n, mencionaron Goretsky y Camp.<\/p>\n\n\n\n<p>Por su parte, la Agencia Nacional de Ciberseguridad de Estados Unidos junto al FBI\u00a0<a href=\"https:\/\/us-cert.cisa.gov\/ncas\/current-activity\/2021\/07\/04\/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa\">publicaron una gu\u00eda<\/a>\u00a0para los proveedor de servicios administrados afectados por este ataque as\u00ed como para sus clientes, que incluye, entre otros puntos, descargar la\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/kaseya.app.box.com\/s\/0ysvgss7w48nxh8k1xt7fqhbcjxhas40\" target=\"_blank\">herramienta de detecci\u00f3n de Kaseya VSA<\/a>, la cual analiza un sistema e indica si se detecta la presencia de alg\u00fan\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/www.welivesecurity.com\/la-es\/2021\/02\/22\/que-son-indicadores-compromiso-evidencia-puedes-haber-sido-victima-malware\/\" target=\"_blank\">Indicador de compromiso<\/a>.<\/p>\n\n\n\n<p>Este tipo de ataques fueron presentados como uno de las tendencias de los ciberdelicuentes para el  2021:<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-4-3 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe title=\"Tendencias de Ciberseguirad, retos y oportunidades 2021\" width=\"650\" height=\"488\" src=\"https:\/\/www.youtube.com\/embed\/Dh8NsGmEZoM?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<p>Fuentes:<\/p>\n\n\n\n<p><a href=\"https:\/\/www.welivesecurity.com\/la-es\/author\/jmharan\/\">Juan Manuel Har\u00e1n<\/a> &#8211; welivesecurity.com <\/p>\n\n\n\n<p><a href=\"https:\/\/www.muycomputer.com\/2021\/04\/21\/apple-victima-indirecta-ransomware\/\">https:\/\/www.muycomputer.com\/2021\/04\/21\/apple-victima-indirecta-ransomware\/<\/a><\/p>\n\n\n\n<p>blog.elhacker.net<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El grupo REvil afirm\u00f3 en una publicaci\u00f3n en su sitio de la Dark web, que utiliza para divulgar informaci\u00f3n sobre sus v\u00edctimas, que m\u00e1s de un mill\u00f3n de sistemas fueron comprometidos y que ofrecen un descifrador para todas las v\u00edctimas del ataque de Kaseya por 70 millones de d\u00f3lares. REvil \/ Sodinokibi ha sido uno&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2882,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[344,343,18,209,150],"class_list":["post-2872","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware","tag-kaseya","tag-raas","tag-ransomware","tag-revil","tag-sodinokibi"],"nelio_content":{"autoShareEndMode":"never","automationSources":{"useCustomSentences":false,"customSentences":[]},"efiAlt":"","efiUrl":"","followers":[],"highlights":[],"isAutoShareEnabled":true,"networkImageIds":[],"permalinkQueryArgs":[],"series":[],"suggestedReferences":[]},"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2872"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2872\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2882"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}