A Kaseya – fornecedora de soluções de gerenciamento de TI e segurança para provedores de serviços gerenciados (MSPs) e pequenas e médias empresas (SMBs), emitiu ontem (6) um comunicado sobre o ciberataque sofrido no feriado prolongado que aconteceu no último final de semana nos Estados Unidos. Mais uma vez, o grupo russo de cibercriminosos REvil está envolvido no caso, que chegou a exigir US$ 70 milhões por uma ferramenta para descriptografar todos os arquivos afetados, mas nesta segunda (5), reduziu a demanda para US$ 50 milhões.
De acordo com a Kaseya, as medidas rápidas de remediação e mitigação salvaram milhares de pequenas e médias empresas de sofrer impactos devastadores em suas operações e garantiram a continuidade dos negócios. Nesta quarta-feira (7), a companhia trabalha para reiniciar os servidores e restabelecer os sistemas.
Negociações com o cibercrime
O CEO da companhia, Fred Voccola, disse à Reuters que não revelaria se sua empresa planejava pagar ou não o resgate. Ele se recusou a dizer se estava pronto para aceitar a oferta dos hackers ou se estava negociando com cibercriminosos.
A grande onda de ataques cibernéticos que impactam negócios e paralisam empresas está ganhando ainda mais espaço na agenda governamental. A porta-voz da Casa Branca, Jen Psaki, disse ontem que as autoridades norte-americanas se reunirão com seus colegas russos na próxima semana para discutir a ameaça do ransomware.
“Se o governo russo não puder ou não tomar medidas contra criminosos residentes na Rússia, nós agiremos, ou nos reservamos o direito de agir por conta própria”, disse. Psaki acrescentou ainda que o presidente Joe Biden está reunindo altos funcionários dos departamentos de Estado, Justiça e Segurança Interna, além da comunidade de inteligência a fim de discutir os esforços do governo para combater o ransomware, principalmente quando uma ação paralisa as empresas envolvidas.
Operação REvil
A Unit 42 – unidade de pesquisa da Palo Alto Networks – publicou uma análise sobre o REvil, a gangue de ransomware por trás vários ataques, incluindo a Kaseya, a Colonial Pipeline e a JBS. Trata-se de um dos grupos mais prolíficos que o grupo de consultoria em segurança cibernética da Palo Alto Networks encontrou em 2021.
O REvil emergiu como um dos operadores de ransomware mais notórios do mundo. Apenas no mês passado, extraiu um pagamento de US$ 11 milhões da maior empresa frigorífica do mundo, exigiu US$ 5 milhões de uma empresa brasileira de diagnósticos médicos e lançou um ataque em grande escala a dezenas de empresas, talvez centenas, que usam software de gerenciamento de TI da Kaseya VSA.
Embora REvil (que também é conhecido como Sodinokibi) possa parecer um novo ator no mundo do crime cibernético, a Unit 42 monitora os agentes de ameaças vinculados a esse grupo há três anos. A Palo Alto Networks encontrou pela primeira vez em 2018, quando trabalhavam com um grupo conhecido como GandCrab. Na época, eles se concentravam principalmente na distribuição de ransomware por meio de malvertising e kits de exploração, que são anúncios maliciosos e ferramentas de malware que os hackers usam para infectar as vítimas por meio de downloads drive-by quando eles visitam um site malicioso.
Esse grupo se transformou no REvil, cresceu e ganhou a reputação de vazar conjuntos de dados massivos e exigir resgates multimilionários. Agora está entre um grupo de elite de gangues de extorsão cibernética responsável pelo aumento de ataques debilitantes que tornaram o ransomware uma das ameaças de segurança mais urgentes para empresas e nações em todo o mundo.
Embora o grupo operacional REvil possa ter como alvo grandes organizações, todas são potencialmente suscetíveis a ataques. À medida que as empresas se aproximam de um ambiente pós COVID-19, a TI e outros defensores das redes devem levar algum tempo para aprender o que é normal em seus ambientes e perceber/questionar anormalidades.
Resposta a incidente
Em 2 de julho, a Kaseya foi alertada sobre um possível ataque de fontes internas e externas fazendo com que a companhia fechasse o acesso ao software em questão. O ataque impactou aproximadamente 50 dos mais de 35.000 clientes da Kaseya, informou a companhia.
Depois de tomar a decisão de encerrar o acesso ao software, uma equipe interna de resposta a incidentes, em parceria com os principais especialistas do setor em investigações forenses, entrou em ação para determinar a natureza do ataque. As agências governamentais de segurança cibernética e de aplicação da lei, incluindo o FBI e a Agência de Segurança Cibernética e Infraestrutura (CISA), foram notificadas e imediatamente envolvidas.
“Nossas equipes globais estão trabalhando 24 horas por dia para colocar nossos clientes de volta em operação. Entendemos que cada segundo com sistemas desligados impacta o funcionamento e é por isso que estamos trabalhando para resolver isso”, completa Fred Voccola.
A FireEye, uma empresa focada em resposta a incidentes, também está trabalhando em estreita colaboração com a Kaseya. “Este é um esforço colaborativo para remediar o problema e identificar os responsáveis para que possam ser responsabilizados”, acrescentou Voccola.
O Kaseya IT Complete, conjunto de produtos da empresa que permite gestão de operações de TI, foi minimamente afetado pela violação. De seus 27 módulos, o VSA foi comprometido.
“É importante permanecer vigilante. Nossa orientação continua sendo que os usuários sigam a recomendação da Kaseya para desligar os servidores VSA imediatamente, para adotar a orientação de mitigação da CISA e relatar caso tenha sido afetado”, finaliza Voccola.
*Com informações da Agência Reuters
