El reciente ataque de ransomware a TietoEVRY, una de las compañías líderes en servicios de TI en el norte de Europa, ha provocado importantes interrupciones en numerosas empresas y ciudades suecas. Este incidente destaca la creciente amenaza de los ataques cibernéticos y su impacto en la sociedad moderna. En este artículo, exploraremos los detalles del ataque a TietoEVRY y sus consecuencias.
El Ataque a TietoEVRY: Una Cronología
El proveedor finlandés de servicios de TI y alojamiento en la nube empresarial Tietoevry experimentó un ataque de ransomware denominado Akira que impactó a los usuarios de alojamiento en la nube en uno de sus centros de datos ubicado en Suecia.
Tietoevry, una compañía finlandesa especializada en servicios de TI que brinda servicios gestionados y alojamiento en la nube para empresas, cuenta con aproximadamente 24,000 empleados a nivel global y registró ingresos por valor de 3,100 millones de dólares en el año 2023.
La empresa confirmó que el ataque de ransomware tuvo lugar desde la noche del viernes hasta la mañana del sábado, afectando exclusivamente a uno de sus centros de datos en Suecia. Según un comunicado de prensa emitido por Tietoevry, "El ataque se restringió a una sección de uno de nuestros centros de datos suecos, lo que generó impactos en los servicios de Tietoevry para algunos de nuestros clientes en Suecia".
"Tietoevry aisló inmediatamente la plataforma afectada y el ataque de ransomware no repercutió en otras partes de la infraestructura empresarial". Se ha informado que el centro de datos en cuestión se emplea para el servicio de alojamiento en la nube administrado por la compañía, lo que resultó en interrupciones para varios clientes en Suecia.
La empresa está actualmente en proceso de restaurar la infraestructura y los servicios, aunque algunos clientes continúan experimentando afectaciones mientras se vuelven a poner en línea los servidores.
El comunicado de prensa menciona: "Tietoevry está siguiendo una metodología bien establecida para la restauración de la infraestructura y los servicios. El trabajo se está llevando a cabo de manera planificada para garantizar la gestión adecuada de los datos de los clientes".
"El calendario de restauración puede variar según el cliente, las soluciones específicas involucradas y las necesidades de recuperación de datos relacionadas".
Se buscó de obtener más detalles sobre el ataque al contactar a Tietoevry, pero la respuesta obtenida se limitó a que el ataque "afectó una sección específica de uno de los centros de datos de Tietoevry ubicado en Suecia". Es importante destacar que Tietoevry había experimentado previamente un ataque de ransomware en el año 2021, que los obligó a desconectar los servicios para sus clientes.
Conoce más sobre: Ciberataque a Nissan Australia: Ransomware Akira
El ataque está causando interrupciones extensas
Aviso en la página web de Filmstaden informando sobre la interrupción en tecnología de la información
El ataque de ransomware Akira ha resultado en interrupciones generalizadas al cifrar los servidores de administración y virtualización utilizados para hospedar sitios web y aplicaciones de diversas empresas en Suecia.
La cadena de cines más grande de Suecia, conocida como Filmstaden, ha confirmado que se encuentra entre las víctimas de este ataque, lo que ha impedido la compra en línea de entradas de cine a través de su sitio web o aplicación móvil.
Otras compañías que se vieron afectadas por este ataque incluyen la cadena minorista de descuento Rusta, el proveedor de materiales de construcción en bruto Moelven y el proveedor agrícola Grangnården, este último se vio obligado a cerrar sus tiendas mientras se restauraban los servicios de tecnología de la información.
La interrupción también ha afectado al sistema de gestión de nóminas y recursos humanos de Tietoevry, conocido como Primula, que es utilizado por el gobierno, las universidades y los colegios en Suecia.
Diversas universidades y facultades en el país, como el Karolinska Institutet, SLU, University West, la Universidad de Estocolmo, Lunds Universitet y la Universidad de Malmö, también han experimentado interrupciones debido a este incidente.
Además, la interrupción del servicio de Primula ha tenido un impacto en varias agencias gubernamentales y municipios en Suecia, incluyendo el centro de servicios de Statens, el municipio de Vellinge y el condado de Uppsala. La situación es particularmente significativa para Uppsala, ya que esta interrupción también afecta al sistema de registro sanitario de la región.
Te podría interesar leer: Detección de Ataques de Ransomware con Wazuh
Ataque perpetrado por el ransomware Akira
El ransomware Akira se identificó como el culpable detrás del ataque a Tietoevry. La empresa confirmó esta información en un comunicado de prensa emitido el lunes, donde detallaron que el ataque malicioso ocurrió en uno de sus centros de datos en Suecia durante la noche del 19 al 20 de enero.
Tietoevry está abordando la situación con seriedad y cuenta con un equipo de expertos trabajando las 24 horas para minimizar el impacto y restaurar los servicios.
Akira, la operación de ransomware, comenzó en marzo de 2023 y se destacó por llevar a cabo ataques de doble extorsión en redes corporativas a nivel global. El Centro Nacional de Seguridad Cibernética de Finlandia (NCSC) advirtió que Akira estaba dirigido a organizaciones en Finlandia y reportó 12 ataques en 2023, principalmente hacia finales de año. Estos incidentes estuvieron relacionados con vulnerabilidades en implementaciones de VPN de Cisco y la falta de parcheos, lo que dificultó la recuperación.
En un incidente previo, Akira violó cuentas VPN de Cisco no protegidas por autenticación multifactor para acceder a redes corporativas, propagarse lateralmente, robar datos y cifrar archivos. Cisco recomendó configurar la autenticación multifactor en todas las cuentas VPN y enviar registros a un servidor syslog remoto para facilitar el análisis en caso de infracción.
Te podrá interesar: Evita el Pago de Ransomware: Riesgos del Rescate
Conclusión
El ataque de ransomware a TietoEVRY es un recordatorio poderoso de la creciente amenaza de los ciberataques y la importancia de la ciberseguridad en nuestra sociedad interconectada. Mientras las empresas y las ciudades continúan dependiendo de los servicios de TI, la protección contra amenazas como el ransomware se vuelve cada vez más crítica. A través de la educación, preparación y adopción de prácticas de seguridad robustas, podemos aspirar a un entorno digital más seguro para todos.
