Ataque de ransomware à Kaseya comprometeu 1500 empresas

Anteriormente, em 2 de julho de 2021, o CEO Fred Voccola se pronunciou sobre o ataque de ransomware à Kaseya, empresa que administra há mais de seis anos. Inicialmente, tudo começou quando Fred percebeu processos suspeitos rodando nos servidores do software que oferece serviços para empresas de gerenciamento de sistemas de tecnologia. Esse software é chamado de Managed Service Provider (MSP).

O grande problema é que o MSP é usado para gerenciar a infraestrutura de tecnologia de mais de 1 milhão de clientes.

Confira aqui os detalhes deste ataque de ransomware à Kaseya, seus impactos e como evitar passar por isso.

Leia também: Dia da internet segura: confira 10 dicas para se proteger online

Sobre a Kaseya

Antes de mais nada, vale uma introdução sobre a empresa. A Kaseya é uma empresa de software americana, fundada em 2001. Seus produtos têm foco B2B, sendo softwares de gerenciamento de sistemas e infraestrutura de TI para outras empresas. Com sua sede em Miami, na Florida, e diversas filiais espalhadas pelos EUA, Europa e Ásia, a Kaseya se tornou um grupo que adquiriu outras 13 empresas.

Da mesma forma, a Kaseya é uma empresa que pertence à Insight Partners, empresa de capital aberto sediada em Nova York.

Como o ataque de ransomware à Kaseya foi percebido

“Na sexta-feira, 2 de julho, por volta das 2 horas da tarde, recebemos alguns relatos de coisas suspeitas acontecendo. Não sabíamos se foi um ataque, não tínhamos muita certeza do que era, mas […] começamos a notar alguns comportamentos estranhos. Em uma hora, fechamos o VSA imediatamente”, conta Voccola, em um vídeo publicado no canal da Kaseya, no YouTube.

Assim, logo após a detecção dos processos suspeitos, Voccola percebeu que se tratava de um ataque cibernético e resolveu desligar os servidores do VSA, onde foram identificados os acessos não autorizados. Um ato de cautela e precaução, que, segundo o executivo, impediu que o ataque se espalhasse para mais serviços e consequentemente, comprometesse mais clientes.

Cerca de 1500 empresas afetadas

Logo após, em um comunicado à imprensa, publicado na segunda-feira (05) a empresa explica que cerca de 50 clientes da Kaseya, os MSPs mencionados por Voccola, baixaram e ofereceram aos seus clientes uma atualização comprometida do software VSA. Esses clientes que baixaram essa atualização somam cerca de 1500 empresas.

“Dos cerca de 800 mil a 1 milhão de pequenas empresas locais, que são gerenciadas pelos clientes da Kaseya, ‘apenas’ cerca de 800 a 1500 foram comprometidas”, justifica Voccola, em seu pronunciamento.

Ainda mais, no mesmo comunicado à imprensa, a Kaseya informou que entrou em contato com as autoridades imediatamente após desligar interromper os servidores do VSA. Além disso, a empresa iniciou uma investigação forense, para determinar os fatos e encontrar possíveis rastros deixados pelos cibercriminosos.

Leia também: Sequestro de dados cresce 92% no Brasil e preocupa empresas

A causa: Ransomware REvil

Pouco depois da identificação do ataque de ransomware à Kaseya, Mark Loman, um analista de malware na Sophos, enquanto analisava ocorrências de ransomware em alguns clientes, descobriu que o ransomware REvil estava ligado ao ataque à Kaseya, que disse “Estamos monitorando um surto de ataque de ‘cadeia de suprimentos’ REvil, que parece resultar de uma atualização maliciosa da Kaseya”, em um post, no Twitter.

O REvil, também conhecido como Sodinokibi, é um operador Ransomware-as-a-Service (RaaS) provavelmente baseado em um país da Comunidade de Estados Independentes (CIS). Ele surgiu em 2019 e é um dos mais prolíficos ransomwares na Dark Web, já que tem como alvo milhares de empresas de tecnologia, provedores de serviços gerenciados e varejistas em todo o mundo.

Após encriptar com sucesso um negócio, as afiliadas REvil exigem grandes resgates de até US$ 70 milhões em troca de uma chave de decriptação e a garantia de que não publicarão os dados internos exfiltrados durante o ataque.

Segundo a diretora de inteligência de ameaças na Unit 42, da Palo ALto Networks, Jen Miller-Osbron, O REvil é um grupo cibercriminoso de origem russa.

Ransomware para executar ataques

“[RaaS] é um modelo baseado em assinatura que permite aos afiliados usar ferramentas de ransomware para executar ataques e ganhar uma porcentagem de cada pagamento de resgate bem-sucedido. Isso permite que gangues de ransomware terceirizem suas operações e ganhem mais dinheiro”, explica a executiva, em entrevista com a The Hack.

“Nós os encontramos [REvil] pela primeira vez em 2018, quando trabalhavam com um grupo conhecido como GandCrab […] Esse grupo se transformou no REvil, cresceu e ganhou a reputação de vazar conjuntos de dados massivos e exigir resgates multimilionários. Agora está entre um grupo de elite de gangues de extorsão cibernética responsável pelo aumento de ataques debilitantes que tornaram o ransomware uma das ameaças de segurança mais urgentes para empresas e nações em todo o mundo”, conclui Jen.

Leia também: Cyberwar: sites do governo da Ucrânia sofrem ataques russos

Como o ataque de ransomware à Kaseya foi resolvido

Conforme informou Voccola em seu pronunciamento sobre o ataque de ransomware à Kaseya, a empresa já corrigiu a vulnerabilidade explorada pelos cibercriminosos e que está trabalhando com o FBI e com as autoridades legais e técnicas dos Estados Unidos para investigar e solucionar o problema, junto com seus clientes.

“Em cerca de duas horas, identificamos a vulnerabilidade específica e com a ajuda de parceiros, consertamos, corrigimos e testamos […] Assim, o governo dos Estados Unidos e o FBI estão trabalhando para garantir que a Kasaya, os parceiros da Kasaya, nossos clientes e muitos de nossos parceiros externos com os quais nos envolvemos imediatamente para resolver esse problema”, disse.

Em contrapartida, é apenas uma questão de tempo para que uma empresa seja comprometida, por isso, é fundamental estar preparado para caso aconteça.

Como se proteger de ataques de ransomware

Para não sofrer como no ataque de ransomware à Kaseya, é preciso estar ciente de que os ataques cibernéticos são cada vez mais frequentes. Desse modo, é fundamental atuar constantemente nos processos de segurança.

Desde já, é preciso proteger o ambiente e saber como responder a esses incidentes cibernéticos com velocidade e eficiência. Afinal, a segurança não é mais uma área de suporte, ela é uma área de negócios que precisa garantir a continuidade do core business das organizações.

Leia também: Segurança em nuvem reduz custos de 79% das empresas

Podemos afirmar que as tendências em serviços de cibersecurity vão mudar a forma como a segurança cibernética é tratada dentro das organizações. Ela será considerada uma decisão de negócio, fará parte das prioridades e terá uma abordagem orientada para resultados.

Porém, para atingir essa transformação digital e cultural, é precioso começar agora. Para ajudar sua empresa a se manter protegida, a AMTI está atenta às tendências em cibersegurança e oferece um portfólio completo de soluções.

Conheça nossos serviços de:

• Cloud computing
• Edge computing
• Backup corporativo
• Software Defined Datacenter e Hiperconvergência
• Datacenter híbrido

Fale com a gente!