BR +55 11 3069 3925 | USA +1 469 620 7643

Entenda o ataque cibernético que afetou a Kaseya

por | set 24, 2021 | Blog

No último dia 2 de julho, um grupo russo de hackers explorou uma falha do software de gestão da empresa Kaseya, afetando seus sistemas e causando problemas para ela e seus clientes.

O ataque cibernético em massa afetou cerca de 1,5 mil empresas em 17 países. Os invasores prometeram devolver o acesso aos dados em troca de 70 milhões de dólares, o equivalente a 364 milhões de reais.

Os hackers prometeram liberar um descriptografador para que todos os arquivos fossem recuperados em pelo menos uma hora após o pagamento do resgate.

Conhecida como “REvil”, a organização assumiu a autoria do ataque virtual à Kaseya. Ela também foi responsável pela invasão que paralisou a produção da JBS, maior processador mundial de carnes, em junho deste ano.

Efeito dominó

Com sede na Flórida, Estados Unidos, a Kaseya é responsável pelo programa de monitoramento e gerenciamento remoto utilizado por mais de 40 mil empresas. Destas, apenas 60 foram afetadas diretamente pelo ciberataque.

Porém, como muitos dos clientes da Kaseya prestam serviços para outros empreendimentos, os sistemas encontram-se interligados em uma rede.

Essa conexão resultou em um efeito dominó, pois o malware instalado se espalhou rapidamente e criptografou os arquivos que encontrou pelo caminho.

A rede de supermercados Coop, da Suécia, precisou suspender o funcionamento de suas lojas porque não conseguia usar o sistema das caixas registradoras, que era gerenciado por uma das empresas clientes da Kaseya.

Como foi a invasão?

O tipo de vírus foi um ransomware que consegue criptografar arquivos de computadores. O acesso só é liberado mediante  pagamento de resgate ao hacker, ou seja, é como se fosse um sequestro de dados no mundo digital.

Nesse tipo de ataque cibernético, os ransomwares são infiltrados em softwares utilizados com frequência e se espalham à medida que os sistemas são atualizados.

A criptografia é a prática de codificar dados, fazendo com que eles deixem de ter o formato original e, portanto, não consigam mais ser lidos pelos proprietários.

Os arquivos só podem ser decodificados e voltarem ao formato original por meio do uso de uma chave de decriptografia específica. É por essa chave que os hackers russos pedem o resgate, pois sem ela os dados tornam-se inúteis.

Providências

Este pode ser considerado o maior ataque cibernético com ransomware de todos os tempos, pois atingiu uma proporção nunca vista em casos parecidos.

A Kaseya pediu aos clientes que usam sua plataforma de administração de sistemas, a VSA, que desligassem imediatamente seus servidores para tentar barrar a possibilidade de suas informações serem capturadas pelo ciberataque.

A Agência Federal de Investigação (FBI) e a Agência de Segurança Cibernética e Infraestrutura (CISA), entre outras autoridades americanas, auxiliaram nas investigações.

O presidente dos EUA, Joe Biden, alertou o líder russo Vladimir Putin para que este tomasse medidas contra os hackers que operam na Rússia há muito tempo.

No dia 12 de julho, a Kaseya informou que havia recuperado completamente os servidores. Esses ataques são uma forma cada vez mais lucrativa de fazer reféns no universo virtual.

Como opera o grupo russo?

O REvil, também chamado de Sodinokibi, é uma das quadrilhas de hackers mais conhecidas da atualidade. Opera com dezenas de indivíduos em regime “profissional” com divisão de tarefas.

Enquanto uma parte do grupo realiza a invasão dos sistemas, a outra fica com a responsabilidade de dar constante manutenção ao ransomware, fazer a gestão financeira do grupo e negociar o resgate dos dados com as vítimas.

Os hackers conduzem o ataque ao modo double extortion, que ocorre quando os piratas da internet tomam o controle da rede, extraem dados importantes e confidenciais e ativam o ransomware que criptograva dos dados das vítimas.

Em seguida, pedem um resgate em dinheiro ou bitcoins para que devolvam o controle dos dados e não tornem públicas as informações obtidas de forma ilegal.

O grupo explorou uma série de “zero-day” no produto que permite burlar sua autenticação, fazer o upload arbitrário de arquivos e instalar o software pirata.

Com isso, podem usar uma série de táticas e ferramentas para se movimentarem na rede e terem acesso a todos os arquivos que estão lá.

Uma ferramenta da própria Kaseya pode ter sido utilizada para tomar o controle do sistema e ativar o software malicioso, pois ele possui privilégios de acesso de alto nível nas máquinas, passando de forma autorizada por antivírus.

A forma exata usada pelo grupo ainda é indeterminada, porém, ficou nítida a fragilidade da proteção da empresa norte-americana aos seus sistemas.

 

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

9 + 5 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link
Powered by Social Snap