Servidores informáticos a nivel global han sido objeto de un ataque de piratería de ransomware, según reportó el domingo la Agencia Nacional de Ciberseguridad (ACN) de Italia, advirtiendo a las organizaciones que tomen medidas para proteger sus sistemas.
Este ataque, que aprovecha una vulnerabilidad de software abierta por lo menos hace dos años, fue ejecutado a gran escala, cubriendo miles de equipos en varios paises.
Nuevo ataque ransomware de alcance internacional
Citando datos provistos por la ACN, la agencia de noticias ANSA de Italia informó que los servidores se habían visto comprometidos, además de Italia, en otros países como Francia, Finlandia, Estados Unidos y Canadá.
Los clientes de Telecom Italia, la mayor empresa de telecomunicaciones del país, informaron problemas de Internet el domingo, pero no se creía que los dos problemas estuvieran relacionados en primera instancia. Tras la emisión del reporte citado, se asumió que docenas de organizaciones italianas se podrían haber visto afectadas por esta situación. Por lo mismo, la advertencia de seguridad fue extendida a muchas más, para que tomaran medidas que ayuden a evitar posibles bloqueos de sus sistemas.
Los funcionarios de seguridad cibernética de EE. UU. dijeron que estaban evaluando el impacto de los incidentes reportados. «CISA está trabajando con nuestros socios del sector público y privado para evaluar los impactos de estos incidentes informados y brindar asistencia donde sea necesario», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.
La agencia nacional de ciberseguridad de Italia establece un nexo entre este reciente caso y uno de similares características, que hace pocos días fue reportado por ION Trading UK, un operador de comercio de derivados del Reino Unido. En ambas situaciones, el ataque de ransomware se valió de una vulnerabilidad en los servidores VMware ESXi.
“La vulnerabilidad a la que se apunta tiene dos años y ya debería haber sido parcheada, pero evidentemente muchos servidores aún no están protegidos”, comentó Stefano Zanero, profesor titular de ciberseguridad en el Politecnico di Milano de Italia, en una entrevista donde señaló que también que su país no fue un objetivo específico.
LockBit, la pandilla que se atribuyó el ataque de la semana pasada a ION Trading UK, dijo que recibió un rescate y desbloqueó esos archivos. Por su parte, ION se ha negado a comentar si se pagó un rescate.
Todavía no está claro si algún grupo se ha atribuido la autoría del último ataque. LockBit ha estado activo desde al menos enero de 2020 y ha extorsionado por lo menos menos 100 millones de dólares en demandas de rescate, según el Departamento de Justicia de EE. UU.
Una variante de ransomware denominada ESXiArgs, parece estar aprovechando la vulnerabilidad CVE-2021-21974, que existe desde hace dos años y para la cual ya hay parches en el aviso de seguridad de VMware del 23 de febrero de 2021, según un portavoz de VMware. “La higiene de la seguridad es un componente clave para prevenir ataques de ransomware, y los clientes que ejecutan versiones de ESXi afectadas por CVE-2021-21974 y aún no han aplicado el parche, deben tomar las medidas indicadas en el aviso”, dijo el funcionario de VMware.
Frente a un caso como este, se recomienda a las empresas no pagar por un rescate de los equipos afectados, ya que no existen garantías que aseguren el posterior desbloqueo de los equipos. En lugar de aquello, junto con dar aviso a las autoridades competentes, se sugiere acudir a un especialista en ciberseguridad que, además de aislar el sistema afectado para evitar la propagación del ataque, pueda aplicar las medidas de mitigación necesarias. A nivel preventivo, se recomienda mantener todos los sistemas actualizados e implmenentar una estrategia de respaldo y recuperación de datos.