0
0
Ela havia sido alertada do problema pelo Dutch Institute for Vulnerability Disclosure (DIVD) mas o ataque chegou antes do patch
Paulo Brito
A vulnerabilidade zero day utilizada pelos operadores do ransomware REvil para invadir os servidores de update da Kaseya estava sendo corrigida pela empresa. Ela havia sido alertada do problema pelo Dutch Institute for Vulnerability Disclosure (DIVD), mas o ataque ocorreu antes que a correção fosse concluída. As informações estão presentes en tuítes de pesquisadores dos Países Baixos, entre eles Victor Gevers (0xDUDE) e Dave Maasland (@DaveMaasland).
A invasão atingiu uma das últimas versões do VSA, software da Kaseya utilizado por provedores de serviços gerenciados para atender clientes. Em seu site Double Pulsar, o pesquisador inglês Kevin Beaumont informou que o VSA tem permissões de administrador nos clientes, podendo portanto fazer instalações. O CEO da Kaseya, Fred Voccola, disse numa entrevista que o número de vítimas é de alguns milhares, a maioria pequenas empresas. Segundo ele, entre 50 e 60 dos 37.000 clientes da empresa foram comprometidos. Mas 70% deles são provedores de serviços gerenciados, que usam o VSA contaminado no atendimento de clientes.
Victor Geverts, que trabalha no CERT dos Países Baixos, publicou um post no blog da organização informando que “durante as últimas 48 horas, o número de instâncias do Kaseya VSA que podem ser acessadas pela Internet caiu de mais de 2.200 para menos de 140 em nossa última varredura de hoje. E, trabalhando em estreita colaboração com nossos parceiros de confiança e CERTs nacionais, o número de servidores na Holanda caiu para zero. Uma boa demonstração de como uma rede cooperativa de organizações preocupadas com a segurança pode ser muito eficaz durante uma crise desagradável”.
Segundo Gevers, que é presidente do DIVD, “estávamos em um processo coordenado de divulgação da vulnerabilidade com o fornecedor enquanto isso acontecia. Os CVEs estavam prontos para serem publicados; os patches foram feitos e preparados para distribuição e mapeamos todas as instâncias online para ajudar a acelerar o processo”, explicou.
Beaumont explicou também que “a entrega do ransomware é feita por meio de uma atualização de software falsa e automatizada usando o Kaseya VSA. O invasor interrompe imediatamente o acesso do administrador ao VSA e adiciona uma tarefa chamada “Kaseya VSA Agent Hot-fix”. Esta atualização falsa é então implantada em toda a propriedade – incluindo nos sistemas dos clientes do cliente MSP – como uma atualização falsa do agente de gerenciamento. Esta atualização do agente de gerenciamento é, na verdade, um ransomware REvil. Para ser claro, isso significa que mesmo as organizações que não são clientes da Kaseya ainda estavam criptografadas”.
FONTE: CISO ADVISOR