O ransomware REvil voltou a atacar mais uma vez, agora foi contra uma empresa que oferece serviços de TI, especificamente gerenciamento de TI mediante um software conhecido como Kaseya, uma situação similar à acontecida com Solarwinds, só que em uma escala muito maior.
O ransomware conseguiu acessar a rede devido à exploração de vulnerabilidades antes desconhecidas no software do fabricante. Isto aconteceu durante o final de semana passado.
Os autores deste crime
Ainda estão sendo feitas as investigações sobre o que aconteceu pela polícia americana especializada em crimes cibernéticos, mas até agora as conclusões sugerem que o ataque foi realizado por uma gangue cibernética que supostamente opera na Europa Oriental ou na Rússia.
Segundo dados coletados, o ataque de ransomware foi o mesmo que atingiu o fornecedor de carne JBS Foods. Os clientes da empresa Kaseya, que se encaixa no segmento B2B sofreram as consequências deste ataque. Pelo menos uma dúzia de empresas de suporte que usam a ferramenta de Kaseya de gerenciamento remoto VSA já foram eliminadas pelo ransomware, assim, o ataque foi multiplicado entre todas essas empresas clientes afetadas e, em pelo menos um caso, os hackers exigiram um resgate de US$ 5 milhões.
O que dizem as investigações
Segundo a TrueSec, um portal digital que oferece informações e pesquisas relacionadas com cibersegurança, os criminosos já estavam há algum tempo procurando falhas no sistema da empresa e, desta vez, usaram uma vulnerabilidade desconhecida para mandar o ransomware a outros servidores que usavam o software Kaseya e se infiltrar.
A empresa não conhecia diretamente essas falhas mas sabia que seus sistemas tinham várias vulnerabilidades, até porque, segundo o Instituto Holandes para Divulgação de Vulnerabilidades, a Kaseya tinha sido alertada sobre estas falhas e estavam trabalhando em conjunto para achar uma solução, só que infelizmente o problema (o ataque de ransomware) veio antes.
Faz um tempo que os hackers têm visualizado as empresas de setores essenciais dos Estados Unidos para atacar. Recentemente aconteceu um ataque à empresa de carne JBS que interrompeu a produção de carne em todas as fábricas da cadeia, e antes disso, no mês de maio, a empresa Colonial Pipeline também foi vítima de um ataque que paralisou as atividades de distribuição de combustível.
Desta vez, a forma do ataque foi similar ao estilo do ataque que atingiu à Solarwinds. o qual funcionou em forma de cadeia também, começando pela empresa fornecedora, neste caso Kaseya, e indo até os clientes. A diferença é que no caso da Solarwinds o objetivo foi espionar as vítimas enquanto neste caso o objetivo foi sequestrá-las.
Informações do Instituto Holandes que estava trabalhando com a Kaseya na correção das falhas antes do ataque, indicou que o grau de complexidade deste ataque foi grande, motivo pelo qual é possível concluir que os autores realmente se deram ao trabalho de explorar profundamente o software e como atacá-lo, pois não é uma cadeia de ataque simples e se precisa um alto nível de habilidade.
As recomendações
Para começar, a recomendação mais urgente é que se você for cliente da Kaseya e usar seus softwares na sua estrutura de TI, desligue o programa imediatamente.
E em segundo lugar, claro que não podemos deixar de recomendar a implementação de soluções protetoras do seu ambiente de TI, como antivírus, EDR, firewall, e claro, fazer análises de vulnerabilidades e testes de intrusão periodicamente, sempre que for possível, pois só com isso será possível determinar as brechas não corrigidas que poderiam ser exploradas por cibercriminosos e propor novas melhorias e otimizações.
Fontes:
https://exame.com/tecnologia/ataque-de-ransomware-em-massa-usou-falhas-em-software-de-ti/