Ataque Kaseya: entenda tudo sobre o incidente
- Atualizado em
- Por Naty Santos
- Malwares
Segundo relatório da Chainalysis, uma consultoria global de análise e inteligência de mercado de criptomoedas, os ataques de ransomware renderam a hackers pelo menos US$ 406 milhões (cerca de R$ 2,1 bilhões) no ano passado.
Além aumentar o volume de transações feitas para os endereços criminosos, agravou também a sofisticação dos ataques.
Entretanto, a diferença entre este incidente e os demais, como o Caso do Colonial Pipeline, por exemplo, está em seu potencial de escala e devastação, não na sofisticação. Entenda o porquê:
O que você vai ver neste post
Quem é a Kaseya
A Kaseya é um desenvolvedor de soluções de TI para empresas e provedores de serviços gerenciados (MSPs), atendendo aproximadamente 40.000 Organizações no mundo todo, com pelo menos uma solução do seu portifólio.
Qual foi a brecha que originou o ataque
Os invasores realizaram um ataque de ransomware à Kaseya, atingindo seus provedores de serviços gerenciados (MSPs) e os clientes de seus MSPs, aproveitando-se de uma vulnerabilidade de dia zero para acionar uma autenticação de desvio na interface da web do Kaseya VSA; software usado para monitorar remotamente PCs, servidores, impressoras, redes e sistemas de ponto de venda.
A invasão permitiu que os atacantes contornassem os controles de autenticação, ganhassem uma sessão autenticada, carregassem a carga maliciosa e executassem comandos via injeção de SQL, obtendo a execução do código no processo e infectando os endpoints.
Como ocorreu a invasão
O Ransomware foi disseminado através de uma atualização de software falsa, mal-intencionada e automatizada, usando o Kaseya VSA, também chamado de “Kaseya VSA Agent Hot-fix”. Entretanto, esta atualização do agente de gerenciamento é, na realidade, um ransomware REvil.
Por que Kaseya foi alvo
Porque invadindo um fornecedor de tecnologia para provedores de serviços gerenciados, como o Kaseya, o software malicioso teria um alto nível de confiança para penetrar nos dispositivos do cliente. Ao se infiltrar no VSA Server, qualquer cliente conectado executaria qualquer tarefa que o VSA Server solicitasse, sem questionar. Assim, o software de monitoramento remoto poderia ser usado para espalhar o ransomware para as empresas da rede.
Quem foi afetado
Estima-se que 1500 pequenas e médias empresas tenham sido comprometidas pelo ransomware, através de seu MSP. Segundo o grupo criminoso REvil, mais de um milhão de sistemas foram infectados.
Aparentemente os invasores não roubaram os dados das redes antes do ataque, para posteriormente utilizá-los em uma extorsão, em caso de negação do pagamento do resgate.
O que foi feito para barrar a propagação do malware
Duas medidas foram tomadas pela Kaseya, logo no início, para tentar evitar a propagação do malware: o envio de notificações aos clientes locais para desligar seus servidores VSA e o desligamento da sua infraestrutura VSA SaaS.
Além disso, a Kaseya notificou as agências de aplicação da lei e de segurança cibernética sobre o ocorrido, incluindo o Federal Bureau of Investigation (FBI) e a US Cybersecurity and Infrastructure Security Agency (CISA).
A autoria do ataque
A investida maliciosa foi atribuída ao grupo de ransomware REvil/ Sodinikibi, que inclusive assumiu a autoria em seu site Dark Web, o “Happy Blog”; endereço, inclusive, que foi apreendido e retirado do ar pelas autoridades.
A gangue que está pedindo para a Kaseya uma chave de descriptografia universal no valor de US$ 70 milhões.
Medidas para remediar os efeitos
A Kaseya pediu que seus clientes executem alguns scripts de autoavaliação (no modo offline), para detectar o risco de exploração em potencial (não são correções de segurança).
A ferramenta de detecção do VSA, criada pela Kaseya, ajuda as equipes de segurança a pesquisar a presença de componentes REvil em suas redes, determinando o risco de exploração pelo ransomware.
A empresa também recomenda habilitar a autenticação multifator (MFA) em todas as contas corporativas, não apenas as de administrador, com altos privilégios.
Espera-se que o fabricante lance patches o mais rápido possível. Para ajudar os clientes nesta implantação futura, a Kaseya publicou dois guias: ” Guia de inicialização do VSA SaaS ” e ” Guia de preparação para inicialização do VSA no local “.
Lições aprendidas no caso
Como vimos, o ransomware explorou uma vulnerabilidade de dia zero ou previamente desconhecida no Kaseya VSA.
Inúmeras pequenas e médias empresas foram impactadas por confiarem em seu fornecedor, que por sua vez, confiava na segurança da plataforma dele. Como verificar a confiança depositada em nossos fornecedores? Utilizando uma metodologia de segurança zero trust: ‘’nunca confie, apenas verifique’’.
Como prevenir ataques cibernéticos, erros e violações de dados
VaultOne é uma solução avançada de gerenciamento de acesso privilegiado (PAM) que protege a sua empresa contra ataques cibernéticos, erro humano e violações de dados. Usamos o modelo Zero Trust e vários mecanismos de segurança cibernética para proteger você de invasores externos e usuários internos mal-intencionados.
Proteja e gerencie o acessos dos usuários onde eles estiverem. Conheça a VaultOne.
