Um Ataque de Ransomware Liderado pela Gangue Cibernética REvil (Sodikinibi) Afeta 1.500 Empresas em Todo o Mundo
Um grande ataque de ransomware realizado pela notória Revil/Sodinikibi gangue cibernética no comando, pode ter supostamente atingido até 200 empresas na América e perto de 1.500 em todo o mundo. Os criminosos russos comprometeram um pacote específico de software de gerenciamento de rede para espalhar a ameaça, o que lhes permitiu alcançar uma miríade de provedores de serviços na nuvem.
O software defeituoso em questão é chamado de Virtual System Administrator, ou VSA - um sistema de monitoramento e gerenciamento remoto desenvolvido e comercializado pela Kaseya, uma empresa privada, que se esforça para fornecer soluções de software eficientes e econômicas para pequenas e médias empresas em todo o mundo . O malware começou a executar o ransomware em endpoints gerenciados pelo pacote VAS local da Kaseya. Como resultado, a escala real da tática pode se provar muito mais significativa do que os pesquisadores de segurança esperavam.
Índice
Explorando um Software Popular para um Impacto Maior
Ataques de ransomware desse calibre geralmente tentam encontrar falhas de segurança em programas de software conhecidos e amplamente usados e, em seguida, exploram essas falhas para plantar o malware mais abaixo na cadeia de suprimentos. No entanto, este é o primeiro ataque de ransomware em grande escala à cadeia de suprimentos que observamos. Dado o grande número de empresas que usam o pacote VSA da Kaseya, não está totalmente claro qual porcentagem de seus clientes foi vítima do ataque até o momento. A administração da Kaseya acaba de emitir um aviso oficial pedindo aos clientes que desliguem todos os seus servidores VSA locais para conter a propagação do malware. Embora a empresa tenha encontrado menos de sessenta clientes afetados, os últimos mantêm relações comerciais com muitas outras empresas ao longo da linha, o que leva o número total de empresas afetadas a uma estimativa de 1.500 ou mais.
Na Véspera de 4 de Julho - Coincidência ou Movimento Calculado?
Os pesquisadores de segurança acreditam que o momento do ataque - sexta-feira, 2 de julho - foi intencional, visto que a maioria dos departamentos de negócios, incluindo TIs, normalmente reduziu a equipe antes e durante os feriados nacionais. John Hammond, da Huntress Labs, que descobriu o ataque, relatou pelo menos quatro provedores de serviços gerenciados infectados, cada um deles fornecendo serviços de hospedagem de infraestrutura de TI para muitas outras empresas. O caráter da cadeia de suprimentos do ataque tem um grande potencial de danos porque suas vítimas finais são as empresas de pequeno e médio porte que dependem inteiramente da segurança de seus fornecedores. Assim que o último sofre uma violação, ele se espalha como um incêndio entre seus clientes comerciais mais abaixo na cadeia.
Correções e Medidas Preventivas (a Partir de 6 de Julho, 12h00 EDT)
Os funcionários da Kaseya aconselharam os clientes afetados a desligar seus servidores VSA locais até novo aviso e evitar clicar em quaisquer URLs relacionados a ransomware, prometendo desenvolver um patch de segurança antes de colocar os servidores online novamente. A empresa seguiu o exemplo, colocando sua infraestrutura VSA SaaS offline também. Embora os especialistas em segurança da Kaseya esperem restaurar os serviços SaaS até as 19h EDT de hoje, eles também planejam implementar uma série de medidas de segurança aprimoradas para minimizar o risco de infecções futuras. Essas medidas vão desde a criação de:
- Um Centro de Operações de Segurança (SOC) independente para monitorar todos os servidores VSA
- Uma Content Delivery Network (CDN) adicional com um Web Application Firewall (WAF) correspondente para cada servidor VSA
- Uma ferramenta de detecção de comprometimento para clientes que desejam testar seus servidores VSA locais para qualquer violação potencial
- Um patch para clientes VSA locais (já desenvolvido, atualmente em teste e validação).
Se tudo correr conforme o planejado, os clientes VSA da Kaseya poderão colocar os seus servidores em funcionamento nas próximas horas.