0
0
Por Felipe Gugelmin
Na última sexta-feira (2), uma organização ligada aos cibercriminosos do REvil realizou um ataque de ransomware que tem o potencial de afetar milhares de empresas ao redor do mundo. O alvo da operação foi a Kaseya, empresa norte-americana responsável por oferecer softwares de gerenciamento de redes para servidores, computadores e impressoras para mais de 36 mil clientes em mais de 20 países — entre os afetados estavam também organizações consideradas de serviços fundamentais, como hospitais e supermercados. Foi uma das maiores ofensivas da história dos crimes cibernéticos.
O ataque foi realizado explorando uma brecha nos servidores VSA (Versatile Server Authentication) da companhia e teve como alvo diversos provedores de serviços gerenciados (MSPs) e seus clientes. Ainda na sexta-feira, a empresa reconheceu que havia um problema e afirmou que entrou em contato com seus clientes por e-mail, notificações em produtos e ligações recomendando que eles desligassem seus servidores SaaS (Software as a Service).
Embora inicialmente tenha afirmado que não havia detectado grandes danos em sua estrutura, no domingo (4) a empresa reviu sua posição e se disse vítima de um ataque sofisticado. Nesta segunda-feira (5), a Kaseya afirmou que já está desenvolvendo e aplicando correções para clientes locais, bem como restaurando seus bancos de dados SaaS.
“Estamos implementando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que isso tenha começado, publicaremos o cronograma de distribuição do patch para clientes locais”, afirmou a empresa em um comunicado. Segundo a empresa de segurança Huntress, mais de 1 mil companhias no mundo foram afetadas — incluindo a rede de supermercados Coop, que interrompeu as atividades de 800 lojas na Suécia devido a problemas com suas caixas registradoras.
Empresas podem levar semanas para se recuperar
Segundo o diretor de engenharia da empresa de segurança digital, Mark Loman, o grupo responsável pelos ataques afirmou ter afetado mais de 1 milhão de computadores. “Dependendo do tamanho da empresa e se ela tiver ou não backups, pode levar semanas antes que consigam restaurar tudo”, explicou ele à Reuters.
No caso da Coop, o fornecedor da ferramenta de pagamentos usada pela empresa precisa ir fisicamente a todas as suas lojas para restaurar as máquinas de pagamento afetadas. Mesmo que o pagamento do resgate exigido pelos criminosos seja feito, será necessário um tempo considerável para as companhias afetadas voltarem a operar normalmente.
“Pagar um resgate apaga o fogo, mas isso não significa que torna nosso ambiente mais seguro”, afirmou David Jacoby, vice-diretor da Kaspersky. Ataques de ransomware têm se tornado especialmente agressivos em 2021, especialmente devido à sua capacidade de render grandes recompensas aos criminosos — relatos mostram que o bloqueio dos sistemas da Colonial Pipelines renderam um pagamento próximo a US$ 5 milhões.
Um dos maiores ataque da história
A Sophos afirmou ao site ZDNet que a ação é um dos maiores ataques de ransomware da história. “No momento, nossa evidência mostra que mais de 70 provedores de serviços gerenciados foram afetados, resultando em mais de 350 organizações afetadas”, afirmou Ross McKerchar, vice-presidente da empresa. Ele adicionou que a expectativa é que o total de vítimas seja maior do que qualquer número divulgado por empresas de segurança até o momento.
Em uma publicação no site “Happy Blog”, os responsáveis pelo ataque se identificam como uma célula ligada ao REvil e exigem um resgate de US$ 70 milhões para liberar a chave de criptografia dos arquivos afetados. Além da Kaseya, o governo dos Estados Unidos também se manifestou publicamente sobre o assunto e se comprometeu a fornecer auxílio às vítimas devido ao risco à segurança nacional trazido pelos cibercriminosos.
Allan Liska, da empresa de segurança Recorded Future, afirmou à Reuters que o ataque partiu do núcleo central do REvil, em uma operação que “mordeu mais do que conseguia mastigar”, o que se reflete no alto valor cobrado. O caso está sob investigação pelo FBI em parceria com a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) e outras agências, que querem entender a escala da ameaça e meios de lidar com ela sem ter que ceder às demandas dos cibercriminosos.
FONTE: CANALTECH