A empresa de serviços de gerenciamento de TI e segurança Kaseya relatou um ataque contra seus clientes na última sexta-feira à tarde, mas que já estaria afetando mais de mil clientes em todo o mundo, segundo dados divulgados nesta segunda-feira,5. A Kaseya disse que o incidente está afetando sua plataforma de software VSA, usada por provedores de serviços gerenciados, aos quais solicitou que desligassem os servidores VSA imediatamente.
"Estamos investigando um possível ataque contra o VSA que indica ter sido limitado a apenas um pequeno número de nossos clientes locais. Desligamos proativamente nossos servidores SaaS por excesso de cautela", explicou Dana Liedholm, vice-presidente sênior de comunicações corporativas da Kaseya
O ataque, que alguns pesquisadores acreditam ser o trabalho do grupo de ransomware REvil ou Sodinokibi RaaS, pode ser o início de um evento de ransomware em massa com o potencial de atingir uma ampla faixa de clientes privados e governamentais.
"Este é um dos ataques criminosos de ransomware de maior alcance que a Sophos já viu. No momento, nossas evidências mostram que mais de 70 provedores de serviços gerenciados foram afetados, resultando em mais de 350 organizações afetadas. Acreditamos que o número total de organizações que foram vítimas seja mais alto do que o que está sendo relatado por qualquer empresa de segurança individual. As empresas atingidas são de diferentes locais em todo o mundo, a maioria nos Estados Unidos, Alemanha e Canadá, com alguns outros na Austrália, Reino Unido e outras regiões", disse Ross McKerchar, vice-presidente e diretor de segurança da informação da Sophos.
"A Sophos está investigando ativamente o ataque à Kaseya, que vemos como um ataque à cadeia de abastecimento. Os adversários estão usando MSPs como método de distribuição para atingir o maior número possível de empresas, independentemente do tamanho ou tipo de setor. Este é um padrão que estamos começando a ver com frequência, pois os invasores estão constantemente mudando seus métodos para obter o maior impacto possível, seja para recompensa financeira, roubo de credenciais de dados ou outras informações pessoais que possam ser aproveitadas posteriormente, entre outros. Em outros ataques em larga escala que vimos na indústria, como o WannaCry, o próprio ransomware era o distribuidor – mas, neste caso, os MSPs que utilizam um amplo gerenciamento de TI são o conduíte para a ação". disse Mark Loman, diretor de Engenharia da Sophos
Alguns atacantes de ransomware bem-sucedidos arrecadaram milhões de dólares em dinheiro de resgate, potencialmente permitindo-lhes comprar exploits de Zero Day altamente valiosos. Certas façanhas são geralmente consideradas atingíveis apenas por estados-nação. Onde os "estados-nação" os usariam com moderação para um ataque isolado específico, nas mãos de cibercriminosos, uma exploração de uma vulnerabilidade na plataforma global pode atrapalhar muitos negócios ao mesmo tempo e ter impacto em nossas vidas diárias.
Um dia após o ataque, ficou mais evidente que uma afiliada do REvil Ransomware-as-a-Service (RaaS) aproveitou uma exploração de Zero Day que permitiu distribuir o ransomware por meio do software Administrador de Sistemas Virtuais (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação altamente confiável que permite aos MSPs acesso privilegiado ilimitado para ajudar muitas empresas com seus ambientes de TI
Com base na inteligência de ameaças da Sophos, o REvil tem estado ativo nas últimas semanas, incluindo no ataque da JBS, e atualmente é a gangue de ransomware dominante envolvida nos casos de resposta de ameaças gerenciadas da Sophos.
Quem foi afetado?
Após os ataques aos servidores Kaseya VSA na última sexta-feira, 2 de julho, de acordo com dados de telemetria da ESET, foram detectadas vítimas do ransomware REvil no Reino Unido, África do Sul, Canadá, Alemanha, Estados Unidos, Colômbia, Suécia, Quênia, Argentina, México, Holanda, Indonésia, Japão, Mauritânia, Nova Zelândia, Espanha e Turquia.
[…] também tivemos um ataque à empresa de SaaS Kaseya, considerado um dos mais ousados até agora por gangues de ransomware, infectando um sistema […]