Semana passada, a gangue de ransomware REvil realizou um ataque de ransomware na cadeia de suprimentos sem precedentes contra clientes do produto VSA da Kaseya.
atualização de julho 6, 2021:
Mesmo que a gangue cibernética REvil afirme ter infectado 1 milhões de sistemas que executam serviços Kaseya, autoridades federais dizem que o número de entidades infectadas está na casa dos milhares. Aproximadamente 1,500 sistemas são considerados vítimas do ataque. A Kaseya também afirma que o ataque não está na cadeia de abastecimento, descartando a possibilidade de acesso à sua infraestrutura de back-end, mas é baseado no CVE-2021-30116 dia zero. Os dias zero foram aproveitados de uma forma que impulsionou com sucesso o ransomware REvil em sistemas vulneráveis.
atualização de julho 12, 2021:
Kaseya lançou patches para as vulnerabilidades, 10 dias após o ataque inicial. “Corrigidas vulnerabilidades de segurança relacionadas ao incidente mencionado aqui e feitas outras atualizações para melhorar a segurança geral do produto,” Kaseya disse em seu consultivo.
Kaseya VSA é um software de administrador de sistema / servidor virtual que monitora e gerencia a infraestrutura dos clientes da Kaseya. O produto pode ser fornecido como um serviço de nuvem hospedado, ou por meio de servidores VSA locais.
“Infelizmente, o produto VSA da Kaseya foi vítima de um ataque cibernético sofisticado. Devido à resposta rápida de nossas equipes, acreditamos que isso foi localizado para um número muito pequeno de clientes no local, pessoalmente,”Kaseya disse em um comunicado. De acordo com a assessoria, todos os servidores VSA locais devem permanecer offline até novas instruções da empresa sobre quando é seguro restaurar as operações.
Como a gangue de ransomware REvil realizou o ataque Kaseya?
De acordo com uma atualização compartilhada pelo DIVD CSIRT, o Instituto Holandês para Divulgação de Vulnerabilidades, a organização já havia alertado a Kaseya sobre várias vulnerabilidades de dia zero, conhecido sob o identificador CVE-2021-30116, no software VSA:
Wietse Boonstra, um pesquisador DIVD, identificou anteriormente uma série de vulnerabilidades de dia zero [CVE-2021-30116] que estão sendo usados atualmente nos ataques de ransomware. E sim, relatamos essas vulnerabilidades à Kaseya de acordo com as diretrizes de divulgação responsável (também conhecido como divulgação de vulnerabilidade coordenada).
Uma vez que a Kaseya estava ciente de nossas vulnerabilidades relatadas, temos estado em constante contato e cooperação com eles. Quando os itens em nosso relatório não estavam claros, eles fizeram as perguntas certas. Além disso, patches parciais foram compartilhados conosco para validar sua eficácia. Durante todo o processo, A Kaseya mostrou que estava disposta a colocar o máximo de esforço e iniciativa neste caso para resolver o problema e corrigir os seus clientes. Eles mostraram um compromisso genuíno em fazer a coisa certa. Infelizmente, fomos derrotados pelo REvil no sprint final, pois eles podem explorar as vulnerabilidades antes que os clientes possam corrigir, a organização holandesa disse.
Seguindo os ataques, REvil agora está exigindo um pagamento de resgate no valor de $70 milhão. Em troca do resgate, os cibercriminosos estão prometendo publicar uma ferramenta de descriptografia universal que deve restaurar todos os sistemas danificados pelo ransomware.
De acordo com um post que a gangue REvil compartilhou em seu site subterrâneo de vazamento de dados, o ataque a provedores MSP foi lançado em julho 2. Diz-se que o ataque infectou mais de um milhão de sistemas. “Se alguém quiser negociar sobre o descriptografador universal - nosso preço é 70,000,000$ no BTC e vamos publicar o descriptografador publicamente que descriptografa os arquivos de todas as vítimas, para que todos possam se recuperar do ataque em menos de uma hora,” o post disse.
relacionado: Apple visada pela gangue REvil em um $50 Ataque de milhões de ransomware
O que os clientes da Kaseya devem fazer?
A CISA e o FBI publicaram recentemente um comunicado, recomendando o download do Ferramenta Kaseya VSA Detection que analisa um sistema, servidor VSA ou endpoint gerenciado, e determina se algum indicador de comprometimento está presente.
Outras recomendações incluem o emprego de autenticação multifator em cada conta, bem como aplicar o MSA para serviços voltados para o cliente; a implementação de lista de permissões para limitar a comunicação com monitoramento remoto e recursos de gerenciamento para pares de endereços IP conhecidos, e colocar interfaces administrativas para RMM atrás de uma VPN ou firewall em uma rede de administração dedicada.
Vale ressaltar que em 2019 a gangue de ransomware GandCrab usou uma vulnerabilidade de poucos anos em um pacote de software usado por empresas de suporte de TI remoto para ganhar uma posição em redes vulneráveis. A vulnerabilidade foi explorada para conceder acesso a redes vulneráveis e distribuir a carga útil do ransomware. A falha em questão afetou o plugin Kaseya para o software Connectwise Manage, um produto de automação de serviço profissional para suporte de TI.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: