WASHINGTON – Un ataque de ransomware paralizó las redes de al menos 200 empresas estadounidenses el viernes, según un investigador de ciberseguridad cuya empresa estaba respondiendo al incidente.

La banda REvil, un importante sindicato de ransomware de habla rusa, parece estar detrás del ataque, dijo John Hammond de la firma de seguridad Huntress Labs. Dijo que los delincuentes atacaron a un proveedor de software llamado Kaseya, utilizando su conjunto de administración de red como un conducto para difundir ransomware a través de proveedores de servicios en la nube. Otros investigadores estuvieron de acuerdo con la evaluación de Hammond.

“Kaseya opera desde grandes empresas hasta pequeñas empresas a nivel mundial, por lo que en última instancia (esto) tiene el potencial de extenderse a empresas de cualquier tamaño o escala”, dijo Hammond en un mensaje directo en Twitter. “Este es un ataque colosal y devastador a la cadena de suministro”. Estos ciberataques a menudo se infiltran en software ampliamente utilizado y propagan malware a medida que se actualiza automáticamente.

No quedó claro de inmediato cuántos clientes de Kaseya podrían verse afectados o quiénes podrían ser. Kaseya instó a los clientes en un comunicado en su sitio web a apagar inmediatamente los servidores que ejecutan el software afectado. Dijo que el ataque se limitó a un “pequeño número” de sus clientes.

Brett Callow, un experto en ransomware de la firma de ciberseguridad Emsisoft, dijo que no tenía conocimiento de ningún ataque previo de ransomware en la cadena de suministro a esta escala. Ha habido otros, pero fueron bastante menores, dijo.

“Esto es SolarWinds con ransomware”, dijo. Se refería a una campaña de piratería rusa descubierta en diciembre que se propagó al infectar software de gestión de redes para infiltrarse en agencias federales de Estados Unidos y decenas de corporaciones.

El investigador de ciberseguridad Jake Williams, presidente de Rendition Infosec, dijo que ya estaba trabajando con seis empresas afectadas por ransomware. No es casualidad que esto sucediera antes del fin de semana del 4 de julio, cuando el personal de TI es escaso, agregó.

“No tengo ninguna duda de que el momento aquí fue intencional”, dijo.

Hammond de Huntress dijo que estaba al tanto de cuatro proveedores de servicios administrados, empresas que alojan infraestructura de TI para múltiples clientes, que están siendo atacados por ransomware, que encripta las redes hasta que las víctimas pagan a los atacantes. Dijo que miles de computadoras fueron atacadas.

“Actualmente tenemos tres socios de Huntress que se ven afectados por aproximadamente 200 negocios que han sido encriptados”, dijo Hammond.

Hammond escribió en Twitter: “Basándonos en todo lo que estamos viendo en este momento, creemos firmemente que esto (es) REvil / Sodinikibi”. El FBI vinculó al mismo proveedor de ransomware con un ataque de mayo contra JBS SA, un importante procesador de carne a nivel mundial.

La Casa Blanca y la Agencia de Seguridad de Infraestructura y Ciberseguridad federal no respondieron de inmediato mensajes en busca de comentarios.

• Bajak informó desde Boston; O’Brien contribuyó desde Providence, Rhode Island.