Hackers do grupo REvil (ou Sodinokibi) utilizaram a ferramenta de monitoramento e gerenciamento remoto VSA da Kaseya para infectar os sistemas de pelo menos 1500 empresas e 30 provedores de serviços gerenciados (MSPs).
Os criminosos cibernéticos estão exigindo US$ 70 milhões (aproximadamente R$ 353 milhões) em bitcoins para restaurar os dados de corporações de 17 países.
Essa ação é conhecida como ataque à cadeia de suprimentos e utiliza uma estratégia semelhante ao Caso SolarWinds, em que um malware é instalado por meio de um servidor de atualização.
Resposta da Kaseya
A Kaseya tem divulgado atualizações regulares sobre o ataque e os seus esforços para mitigar prejuízos. A empresa desligou seus servidores VSA e recomenda que seus clientes façam o mesmo nesse momento.
Em comunicado, a Kaseya afirma:
Nossas equipes de Segurança, R&D, Comunicações e Clientes continuam a trabalhar 24 horas por dia em vários países durante o fim de semana para resolver o problema e restaurar o serviço de nossos clientes.
Estamos realizando um retorno em etapas ao serviço de farms de servidores SaaS com funcionalidade restrita e uma postura de segurança mais elevada (estimada para acontecer nas próximas 24–48 horas, mas que está sujeita a alterações).
VEJA TAMBÉM: JBS não priorizou investimentos em cibersegurança e pagou resgate de US$ 11 milhões em bitcoin
Como o ataque foi realizado?
A empresa de segurança Huntress Labs acredita que os cibercriminosos exploraram uma vulnerabilidade SQLi e utilizaram um bypass de autenticação para obter acesso aos servidores VSA.
O ataque desabilita os antivírus locais e, em seguida, executa um falso aplicativo do Windows Defender. Este aplicativo executa as rotinas de ransomware para criptografar arquivos no sistema.
O analista de malware da Sophos, Per Mark Loman, disse que as empresas afetadas estão recebendo pedidos de resgate que variam entre U$ 50.000 e U$ 5 milhões dependendo do tamanho da sua rede.
REvil: Ransomware-as-a-Service
O ransomware REvil foi detectado pela primeira vez em um fórum de hackers russos em junho de 2019. O sistema de RaaS (Ransomware-as-a-Service) é operado como um serviço de afiliados, ou seja, a infraestrutura de pagamento e o desenvolvimento do malware são mantidos pelos operadores REvil, mas qualquer pessoa pode espalhar o malware e receber de 60% a 70% do pagamento do resgate.
Essa abordagem dificulta a identificação dos responsáveis e aumenta o poder de alcance dos ataques.
Fonte: Tecmundo, Blocks & Files e Tecnoblog
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
