Read, hack, repeat

Ataque à cadeia de suprimentos da Kaseya comprometeu 1500 empresas; aqui está tudo o que precisa saber sobre o caso

Guilherme Petry

O empresário, Fred Voccola, CEO da Keseya, começa seu pronunciamento voltando naquela fatídica sexta-feira, dia 2 de julho de 2021, quando a Kaseya, empresa que administra a mais de seis anos, percebeu alguns processos suspeitos rodando nos servidores do seu software que oferece serviços para empresas de gerenciamento de sistemas de tecnologia ou, Managed Service Provider [MSP], em inglês.

"Na sexta-feira, 2 de julho, por volta das 2 horas da tarde, recebemos alguns relatos de coisas suspeitas acontecendo. Não sabíamos se foi um ataque, não tínhamos muita certeza do que era, mas [...] começamos a notar alguns comportamentos estranhos. Em uma hora, fechamos o VSA imediatamente", conta Voccola, em um vídeo publicado no canal da Kaseya, no YouTube.

VSA é um dos softwares desenvolvidos e gerenciados pela Kaseya. Ele oferece uma solução de monitoramento e gerenciamento remoto (em inglês, Remote Monitoring and Management [RMM]). Ou seja, a maioria dos clientes da Kaseya são provedores de serviços de gerenciamento (MSPs), que comercializam esse software de RMM, desenvolvido pela Kaseya, com seus clientes.

Captura de tela da interface de usuário do Kaseya VSA. Foto: Kaseya.
Captura de tela da interface de usuário do Kaseya VSA. Foto: Kaseya.

Sendo assim, a Kaseya, que já é uma empresa grande, com cerca de 37 mil clientes diretos, gerencia também a infraestrutura de tecnologia de mais 1 milhão de clientes, de forma indireta, através de seus mediadores MSPs.

Logo após a detecção dos processos suspeitos, Voccola percebeu que se tratava de um ataque cibernético e resolveu desligar os servidores do VSA, onde foram identificados os acessos não autorizados. Um ato de cautela e precaução, que, segundo o executivo, impediu que o ataque se espalhasse para mais serviços e consequentemente, comprometesse mais clientes.

Em um comunicado à imprensa, publicado na segunda-feira (05) a empresa explica que cerca de 50 clientes da Kaseya, os MSPs mencionados por Voccola, baixaram e ofereceram aos seus clientes uma atualização comprometida do software VSA. Esses clientes que baixaram essa atualização somam cerca de 1500 empresas.

“Dos cerca de 800 mil a 1 milhão de pequenas empresas locais, que são gerenciadas pelos clientes da Kaseya, ‘apenas’ cerca de 800 a 1500 foram comprometidas”, justifica Voccola, em seu pronunciamento.

Ainda no mesmo comunicado à imprensa, a Kaseya informou que entrou em contato com as autoridades imediatamente após desligar interromper os servidores do VSA, além de iniciar uma investigação forense, para determinar os fatos e encontrar possíveis rastros deixados pelos cibercriminosos.

Ransomware REvil

Além de afetar a atrapalhar o trabalho de cerca de 1500 empresas, o ataque e o desligamento dos serviços do VSA chocou a comunidade de profissionais de tecnologia e segurança da informação. Seria esse mais um ataque de cadeia de suprimentos massivo, ao nível do que foi o ataque à SolarWinds?

No mesmo dia da identificação do ataque, Mark Loman, um analista de malware na Sophos, enquanto analisava ocorrências de ransomware em alguns clientes, descobriu que o ransomware REvil estava ligado ao ataque à Kaseya, que disse "Estamos monitorando um surto de ataque de 'cadeia de suprimentos' REvil, que parece resultar de uma atualização maliciosa da Kaseya", em um post, no Twitter.

Analista de malware já estava no rastro do REvil quando identificou a relação com o ataque à Kaseya. Foto: The Hack.
Analista de malware da Sophos já estava no rastro do REvil quando identificou a relação com o ataque à Kaseya. Foto: The Hack.

Segundo a diretora de inteligência de ameaças na Unit 42, da Palo ALto Networks, Jen Miller-Osbron, O REvil é um grupo cibercriminoso de origem russa, que opera um modelo de negócio cibercriminoso conhecido como Ransomware as a Service (RaaS). “[RaaS] é um modelo baseado em assinatura que permite aos afiliados usar ferramentas de ransomware para executar ataques e ganhar uma porcentagem de cada pagamento de resgate bem-sucedido. Isso permite que gangues de ransomware terceirizem suas operações e ganhem mais dinheiro", explica a executiva, em entrevista com a The Hack.

"Nós os encontramos [REvil] pela primeira vez em 2018, quando trabalhavam com um grupo conhecido como GandCrab [...] Esse grupo se transformou no REvil, cresceu e ganhou a reputação de vazar conjuntos de dados massivos e exigir resgates multimilionários. Agora está entre um grupo de elite de gangues de extorsão cibernética responsável pelo aumento de ataques debilitantes que tornaram o ransomware uma das ameaças de segurança mais urgentes para empresas e nações em todo o mundo", conclui Jen.

Já o engenheiro sênior de vendas na Sophos, Rafael Foster, confirmou, durante o webinar “The State of Ransomware 2021” transmitido na quinta-feira (07), que a Sophos, em parceria com outra empresa de segurança, a Hunters, foram os responsáveis por encontrar informações que relacionavam o ataque da Kaseya ao ransomware REvil.

Dois dias depois do ataque, no domingo (04) a suspeita foi confirmada pelos próprios cibercriminosos, no site oficial do grupo, na dark web. De acordo com o The Record, que teve acesso ao blog do REvil, as empresas, usuárias do software VSA da Kaseya, que foram infectadas pelo ransomware, informaram que os cibercriminosos estão pedindo U$ 50 mil (R$ 262 mil) pelo resgate dos dados criptografados.

Mas, como foram contabilizadas cerca de 1500 vítimas até agora, o grupo cibercriminoso está oferecendo um descriptografador universal, para restaurar os dados de todos os infectados, pelo equivalente a U$ 70 milhões (R$ 368 milhões), em Monero, uma criptomoeda bastante popular entre cibercriminosos, por conta dos seus níveis elevados de criptografia, anonimidade e irrastreabilidade.

Cibercriminosos afirmam serem os responsáveis pelo ataque e pedem U$ 70 milhões por um descriptografador universal, em post no blog do grupo, hospedado na dark web. Foto: The Record.
Cibercriminosos afirmam serem os responsáveis pelo ataque e pedem U$ 70 milhões por um descriptografador universal, em post no blog do grupo, hospedado na dark web. Foto: The Record.

O The Record entrou em contato com a Kaseya, que informou que não tem intensão de pagar pelo resgate, assim como também não tem intensão de comprar o descriptografador universal.

Ataque a cadeia de suprimentos

Como informou Voccola em seu pronunciamento, a Kaseya já corrigiu a vulnerabilidade explorada pelos cibercriminosos e que está trabalhando com o FBI e com as autoridades legais e técnicas dos Estados Unidos para investigar e solucionar o problema, junto com seus clientes.

“Em cerca de duas horas, identificamos a vulnerabilidade específica e com a ajuda de parceiros, consertamos, corrigimos e testamos [...] O governo dos Estados Unidos e o FBI estão trabalhando para garantir que a Kasaya, os parceiros da Kasaya, nossos clientes e muitos de nossos parceiros externos com os quais nos envolvemos imediatamente para resolver esse problema”, disse.

Convidado pela The Hack para comentar o caso, Lucas Silva, analista de resposta a incidentes da Trend Micro, explica que um ataque de cadeia de suprimentos, ou um ataque à cadeia de fornecedores, é diferente de um ataque comum, normalmente direcionado a apenas uma empresa, por isso, pode ser ainda mais devastador.

“Em um ataque típico, os cibercriminosos escolhem uma empresa como alvo e encontram uma maneira única de invadir a rede daquela vítima. Mas, durante um ataque à cadeia de suprimentos (supply chain attack), os cibercriminosos se infiltram em uma empresa confiável que fornece softwares ou serviços de TI para muitas outras empresas. O objetivo desse ataque é inserir o malware na ‘cadeia de suprimentos’ de atualizações de um software instalado nos computadores de seus clientes. Nesses tipos de incidentes, qualquer empresa pode ser afetada seja ela pequena, média ou grande. O mais preocupante é o aumento desse tipo de ataque, recentemente tivemos com o SolarWinds e agora com a Kaseya”, disse o executivo por e-mail, à The Hack.

Já o CEO da divisão de cibersegurança do Grupo Stefanini, Leidivino Natal da Silva, contextualiza o que foi dito por Voccola no vídeo, que é apenas uma questão de tempo para que uma empresa seja comprometida, por isso, é fundamental estar preparado para caso aconteça.

"Ataques cibernéticos têm sido cada vez mais frequentes. É fundamental para toda e qualquer empresa atue constantemente nos processos de segurança, de acordo com o seu negócio. É preciso proteger o ambiente e saber como responder a esses incidentes cibernéticos com velocidade e eficiência. Segurança não é mais uma área de suporte, ela é uma área de negócios que precisa garantir a continuidade do core business das organizações”, disse o executivo.


Fontes: Kaseya; The Record; The Record; Mark Loman; The State Of Ransomware 2021.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.