Ataque Kaseya: entenda tudo sobre o incidente

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

Segundo relatório da Chainalysis, uma consultoria global de análise e inteligência de mercado de criptomoedas, os ataques de ransomware renderam a hackers pelo menos US$ 406 milhões (cerca de R$ 2,1 bilhões) no ano passado. 

Além aumentar o volume de transações feitas para os endereços criminosos, agravou também a sofisticação dos ataques.

Entretanto, a diferença entre este incidente e os demais, como o Caso do Colonial Pipeline, por exemplo, está em seu potencial de escala e devastação, não na sofisticação. Entenda o porquê:

O que você vai ver neste post

Quem é a Kaseya

A Kaseya é um desenvolvedor de soluções de TI para empresas e provedores de serviços gerenciados (MSPs), atendendo aproximadamente 40.000 Organizações no mundo todo, com pelo menos uma solução do seu portifólio.

Qual foi a brecha que originou o ataque

Os invasores realizaram um ataque de ransomware à Kaseya, atingindo seus provedores de serviços gerenciados (MSPs) e os clientes de seus MSPs, aproveitando-se de uma vulnerabilidade de dia zero para acionar uma autenticação de desvio na interface da web do Kaseya VSA; software usado para monitorar remotamente PCs, servidores, impressoras, redes e sistemas de ponto de venda. 

A invasão permitiu que os atacantes contornassem os controles de autenticação, ganhassem uma sessão autenticada, carregassem a carga maliciosa e executassem comandos via injeção de SQL, obtendo a execução do código no processo e infectando os endpoints.

Como ocorreu a invasão

O Ransomware foi disseminado através de uma atualização de software falsa, mal-intencionada e automatizada, usando o Kaseya VSA, também chamado de “Kaseya VSA Agent Hot-fix”. Entretanto, esta atualização do agente de gerenciamento é, na realidade, um ransomware REvil.

Por que Kaseya foi alvo

Porque invadindo um fornecedor de tecnologia para provedores de serviços gerenciados, como o Kaseya, o software malicioso teria um alto nível de confiança para penetrar nos dispositivos do cliente. Ao se infiltrar no VSA Server, qualquer cliente conectado executaria qualquer tarefa que o VSA Server solicitasse, sem questionar. Assim, o software de monitoramento remoto poderia ser usado para espalhar o ransomware para as empresas da rede.

Quem foi afetado

Estima-se que 1500 pequenas e médias empresas tenham sido comprometidas pelo ransomware, através de seu MSP. Segundo o grupo criminoso REvil, mais de um milhão de sistemas foram infectados.

Aparentemente os invasores não roubaram os dados das redes antes do ataque, para posteriormente utilizá-los em uma extorsão, em caso de negação do pagamento do resgate.

O que foi feito para barrar a propagação do malware

Duas medidas foram tomadas pela Kaseya, logo no início, para tentar evitar a propagação do malware: o envio de notificações aos clientes locais para desligar seus servidores VSA e o desligamento da sua infraestrutura VSA SaaS.

Além disso, a Kaseya notificou as agências de aplicação da lei e de segurança cibernética sobre o ocorrido, incluindo o Federal Bureau of Investigation (FBI) e a US Cybersecurity and Infrastructure Security Agency (CISA).

A autoria do ataque

A investida maliciosa foi atribuída ao grupo de ransomware REvil/ Sodinikibi, que inclusive assumiu a autoria em seu site Dark Web, o “Happy Blog”; endereço, inclusive, que foi apreendido e retirado do ar pelas autoridades.

A gangue que está pedindo para a Kaseya uma chave de descriptografia universal no valor de US$ 70 milhões.

Medidas para remediar os efeitos

A Kaseya pediu que seus clientes executem alguns scripts de autoavaliação (no modo offline), para detectar o risco de exploração em potencial (não são correções de segurança).

A ferramenta de detecção do VSA, criada pela Kaseya, ajuda as equipes de segurança a pesquisar a presença de componentes REvil em suas redes, determinando o risco de exploração pelo ransomware.

A empresa também recomenda habilitar a autenticação multifator (MFA) em todas as contas corporativas, não apenas as de administrador, com altos privilégios. 

Espera-se que o fabricante lance patches o mais rápido possível. Para ajudar os clientes nesta implantação futura, a Kaseya publicou dois guias: ” Guia de inicialização do VSA SaaS ” e ” Guia de preparação para inicialização do VSA no local “. 

Lições aprendidas no caso

Como vimos, o ransomware explorou uma vulnerabilidade de dia zero ou previamente desconhecida no Kaseya VSA. 

Inúmeras pequenas e médias empresas foram impactadas por confiarem em seu fornecedor, que por sua vez, confiava na segurança da plataforma dele. Como verificar a confiança depositada em nossos fornecedores? Utilizando uma metodologia de segurança zero trust: ‘’nunca confie, apenas verifique’’.

Como prevenir ataques cibernéticos, erros e violações de dados

VaultOne é uma solução avançada de gerenciamento de acesso privilegiado (PAM) que protege a sua empresa contra ataques cibernéticos, erro humano e violações de dados. Usamos o modelo Zero Trust e vários mecanismos de segurança cibernética para proteger você de invasores externos e usuários internos mal-intencionados.

Proteja e gerencie o acessos dos usuários onde eles estiverem. Conheça a VaultOne.

ACOMPANHE
nossas redes

RECEBA NOTÍCIAS
no seu e-mail