BR +55 11 3069 3925  |  USA +1 855 726 4878

Entenda o ataque cibernético que afetou a Kaseya

por | set 24, 2021 | Blog

No último dia 2 de julho, um grupo russo de hackers explorou uma falha do software de gestão da empresa Kaseya, afetando seus sistemas e causando problemas para ela e seus clientes.

O ataque cibernético em massa afetou cerca de 1,5 mil empresas em 17 países. Os invasores prometeram devolver o acesso aos dados em troca de 70 milhões de dólares, o equivalente a 364 milhões de reais.

Os hackers prometeram liberar um descriptografador para que todos os arquivos fossem recuperados em pelo menos uma hora após o pagamento do resgate.

Conhecida como “REvil”, a organização assumiu a autoria do ataque virtual à Kaseya. Ela também foi responsável pela invasão que paralisou a produção da JBS, maior processador mundial de carnes, em junho deste ano.

Efeito dominó

Com sede na Flórida, Estados Unidos, a Kaseya é responsável pelo programa de monitoramento e gerenciamento remoto utilizado por mais de 40 mil empresas. Destas, apenas 60 foram afetadas diretamente pelo ciberataque.

Porém, como muitos dos clientes da Kaseya prestam serviços para outros empreendimentos, os sistemas encontram-se interligados em uma rede.

Essa conexão resultou em um efeito dominó, pois o malware instalado se espalhou rapidamente e criptografou os arquivos que encontrou pelo caminho.

A rede de supermercados Coop, da Suécia, precisou suspender o funcionamento de suas lojas porque não conseguia usar o sistema das caixas registradoras, que era gerenciado por uma das empresas clientes da Kaseya.

Como foi a invasão?

O tipo de vírus foi um ransomware que consegue criptografar arquivos de computadores. O acesso só é liberado mediante  pagamento de resgate ao hacker, ou seja, é como se fosse um sequestro de dados no mundo digital.

Nesse tipo de ataque cibernético, os ransomwares são infiltrados em softwares utilizados com frequência e se espalham à medida que os sistemas são atualizados.

A criptografia é a prática de codificar dados, fazendo com que eles deixem de ter o formato original e, portanto, não consigam mais ser lidos pelos proprietários.

Os arquivos só podem ser decodificados e voltarem ao formato original por meio do uso de uma chave de decriptografia específica. É por essa chave que os hackers russos pedem o resgate, pois sem ela os dados tornam-se inúteis.

Providências

Este pode ser considerado o maior ataque cibernético com ransomware de todos os tempos, pois atingiu uma proporção nunca vista em casos parecidos.

A Kaseya pediu aos clientes que usam sua plataforma de administração de sistemas, a VSA, que desligassem imediatamente seus servidores para tentar barrar a possibilidade de suas informações serem capturadas pelo ciberataque.

A Agência Federal de Investigação (FBI) e a Agência de Segurança Cibernética e Infraestrutura (CISA), entre outras autoridades americanas, auxiliaram nas investigações.

O presidente dos EUA, Joe Biden, alertou o líder russo Vladimir Putin para que este tomasse medidas contra os hackers que operam na Rússia há muito tempo.

No dia 12 de julho, a Kaseya informou que havia recuperado completamente os servidores. Esses ataques são uma forma cada vez mais lucrativa de fazer reféns no universo virtual.

Como opera o grupo russo?

O REvil, também chamado de Sodinokibi, é uma das quadrilhas de hackers mais conhecidas da atualidade. Opera com dezenas de indivíduos em regime “profissional” com divisão de tarefas.

Enquanto uma parte do grupo realiza a invasão dos sistemas, a outra fica com a responsabilidade de dar constante manutenção ao ransomware, fazer a gestão financeira do grupo e negociar o resgate dos dados com as vítimas.

Os hackers conduzem o ataque ao modo double extortion, que ocorre quando os piratas da internet tomam o controle da rede, extraem dados importantes e confidenciais e ativam o ransomware que criptograva dos dados das vítimas.

Em seguida, pedem um resgate em dinheiro ou bitcoins para que devolvam o controle dos dados e não tornem públicas as informações obtidas de forma ilegal.

O grupo explorou uma série de “zero-day” no produto que permite burlar sua autenticação, fazer o upload arbitrário de arquivos e instalar o software pirata.

Com isso, podem usar uma série de táticas e ferramentas para se movimentarem na rede e terem acesso a todos os arquivos que estão lá.

Uma ferramenta da própria Kaseya pode ter sido utilizada para tomar o controle do sistema e ativar o software malicioso, pois ele possui privilégios de acesso de alto nível nas máquinas, passando de forma autorizada por antivírus.

A forma exata usada pelo grupo ainda é indeterminada, porém, ficou nítida a fragilidade da proteção da empresa norte-americana aos seus sistemas.

 

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

15 + 1 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...