0
0
REvil invadiu servidores e contaminou software destinado à atualização. A Kaseya tem 40 mil clientes que podem estar contaminados
Cerca de mil empresas já estão comprometidas e com sistemas congelados por ransomware por causa de um ataque do ransomware REvil (ou Sodinokibi), supostamente controlado por pessoas que falamm russo. A estimativa é da empresa Huntress, especializada em contra-ataques cibernéticos. Esses incidentes são o resultado da invasão dos servidores de atualização da Kaseya, um fornecedor de software para departamentos de TI e para provedores de serviços gerenciados com sede na Flórida. O ataque teria sido feito pelos operadores do ransomware REvil, que teriam criado uma versão contaminada do software VSA para plantar o malware em redes corporativas. O Kaseya VSA é uma plataforma de monitoramento e gerenciamento remoto unificado para endpoint e rede. Com o comprometimento dos provedores de serviços, as consequências serão milhares de outras empresas também contaminadas, inclusive porque a principal recomendação é baixar os servidores do VSA.
Na Nova Zelândia, segundo o jornal Stuff, onze escolas que são atendidas por meio do VSA foram atingidas com ataques de ransomware. O jornal The New York Times informou que na Suécia a rede de supermercados Coop, que tem 800 lojas, foi forçada a fechar 800 lojas no sábado dia 3 de julho, conforme disse ao jornal um pesquisador de segurança da empresa Yubico. Um post da ESET assinado pelos especialistas Cameron Camp e Aryeh Goretsky informa que já existem vítimas em pelo menos 17 países (gráfico abaixo), entre os quais Reino Unido, África do Sul, Canadá, Argentina, México, Kenya e Alemanha.
O que aconteceu com a Kaseya foi a mesma coisa ue aconteceu no final do ano passado com a SolarWinds: contaminação da cadeia de fornecimento de atualizações. A primeira notícia sobre o incidente apareceu ontem num post feito ontem no Reddit pelo usuário “ChargeTechnical7885” informando numa frase apenas que “o Kaseya foi hackeado com randomware (sic) que se espalhou para todos os clientes MSP (provedores de serviços gerenciados)”. A Kaseya tem cerca de 40 mil clientes espalhados pelo mundo e o ransomware de fato tem o potencial para atingir todos eles.
A Kaseya publicou seu primeiro comunicado sobre o assunto às 17h do dia 2 (hora de Brasília). Os comunicados e recomendações estão no endereço abaixo
https://www.kaseya.com/potential-attack-on-kaseya-vsa/
A empresa também anunciou para ontem a publicação de uma ferramenta de diagóstico, para que seus clientes possam verificar se os sistemas foram comprometidos ou não. Os clientes que desejarem receber a ferramenta devem enviar um email para support@kaseya.com com o assunto “Compromise Detection Tool Request”, osando um endereço de remetente associado ao cliente do VSA.
A empresa Huntress, especializada em contra-ataques a invasões, está acompanhando o assunto e informou que:
- “Um número atualizado de MSPs afetados confirmados, as regiões onde ocorreram e uma declaração clara de que mais de 1.000 empresas tinham servidores e estações de trabalho criptografados.”
- “Nossa avaliação de alta confiança de que os cibercriminosos exploraram uma vulnerabilidade para obter acesso a esses servidores e nossa avaliação de confiança moderada de que a interface da web não foi usada diretamente pelos invasores. Essas opiniões são resultado da análise de centenas de registros do VSA de muitos servidores comprometidos.”
- “A adição / consolidação de todos os IoCs observados em um único local com capturas de tela”.
O especialista Mark Loman, da Sophos, publicou este tuíte: “Estamos monitorando um surto de ataque da ‘cadeia de suprimentos’ pelo REvil, que parece resultar de uma atualização maliciosa da Kaseya. O binário REvil C: \ Windows \ mpsvc.dll é carregado em uma cópia legítima do Microsoft Defender, copiado em C: \ Windows \ MsMpEng.exe para executar a criptografia com um processo legítimo”.
Há informações de contra medidas da Sophos neste endereço:
https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers
As informações da Huntress estão em:
https://old.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/h3u5j2e/
O que é Kaseya
A Kaseya foi fundada no ano 2000, como plataforma aberta com abordagem centrada no cliente, para fornecer tecnologia de gestão de TI a pequenas e médias empresas e provedores de serviços gerenciados (MSPs). O pacote de produtos IT Complete da Kaseya é considerada uma das plataformas de gerenciamento de TI mais abrangentes, composta por soluções que são o Unitrends, RapidFire Tools, Spanning Cloud Apps, IT Glue, ID Agent, Graphus e RocketCyber.
Mais de 40.000 organizações em todo o mundo usam uma – ou todas – as soluções de TI da Kaseya.
FONTE: CISO ADVISOR