Kaseya sofre novo ataque de ransomware

A Kaseya empresa de TI com sede nos Estados Unidos, atingida na sexta-feira por ransomware, informou neste domingo, 4, que está investigando o ataque e que está empenhada em contornar todas as consequências da grande violação que afetou centenas de empresas em todo o mundo, a maioria naquele país, Alemanha e Canadá, com alguns outros na Austrália e Reino Unido,
especialmente e na Alemanha.

Como a Kaseya é usada principalmente por Managed Service Providers – MSPs, ou provedores de serviços gerenciados, essa abordagem deu aos invasores acesso privilegiado aos dispositivos dos clientes do MSP. Algumas das características comuns do VSA Server são a implantação de software e automação de tarefas de TI.

Analistas informam que o alvo foram os servidores da empresa. Com pedidos de resgate de até US$ 5 milhões, a equipe de cibercriminosos REvil, conhecida por extorquir US$ 11 milhões da JBS, infectou milhares de vítimas em pelo menos 17 países no último dia 2 de julho, em grande parte por meio de empresas que gerenciam remotamente a infraestrutura de TI para inúmeros clientes.
Para Ross McKerchar, vice-presidente e diretor de Segurança da Informação da Sophos, este é um dos ataques criminosos de ransomware de maior alcance que a empresa mundial de cibersegurança já viu. “No momento, nossas evidências mostram que mais de 70 provedores de serviços gerenciados foram afetados, resultando em mais de 350 organizações prejudicadas. Acreditamos que o número total de organizações que foram vítimas seja mais alto do que o que está sendo relatado por qualquer empresa de segurança individual”, diz.

Os adversários estão usando MSPs como método de distribuição para atingir o maior número possível de empresas, independentemente do tamanho ou tipo de setor. Este é um padrão que os especialistas começam a se deparar com frequência, pois os invasores estão constantemente mudando seus métodos para obter o maior impacto possível, seja para recompensa financeira, roubo de credenciais de dados ou outras informações pessoais que possam ser aproveitadas posteriormente.

“A Sophos está investigando ativamente o ataque à Kaseya, que identificamos como uma ofensiva à cadeia de abastecimento. Em outros ataques em larga escala que vimos na indústria, como o WannaCry, o próprio ransomware era o distribuidor, mas neste caso, os MSPs que utilizam um amplo gerenciamento de TI são o conduíte para a ação”, avalia Mark Loman, diretor de Engenharia da Sophos.

Alguns atacantes de ransomware bem-sucedidos arrecadaram milhões de dólares em dinheiro de resgate, potencialmente permitindo-lhes comprar exploits de Zero Day altamente valiosos. Certas façanhas são geralmente consideradas atingíveis apenas por estados-nação. Onde os “estados-nação” os usariam com moderação para um ataque isolado específico, nas mãos de cibercriminosos, uma exploração de uma vulnerabilidade na plataforma global pode atrapalhar muitos negócios ao mesmo tempo e ter impacto em nossas vidas diárias.

Um dia após o ataque, ficou mais evidente que uma afiliada do REvil Ransomware-as-a-Service (RaaS) aproveitou uma exploração de Zero Day que permitiu distribuir o ransomware por meio do software Administrador de Sistemas Virtuais (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação altamente confiável que permite aos MSPs acesso privilegiado ilimitado para ajudar muitas empresas com seus ambientes de TI”.

Com base na inteligência de ameaças da Sophos, o REvil tem estado ativo nas últimas semanas, incluindo no ataque da JBS, e atualmente é a gangue de ransomware dominante envolvida nos casos de resposta de ameaças gerenciadas da Sophos.