0
0
Estima-se que o ataque ao provedor de software Kaseya, com sede nos EUA, pelo notório grupo de ransomware ligado à Rússia, REvil, em julho de 2021, tenha afetado até 2.000 organizações globais. O REvil teve como alvo uma vulnerabilidade (CVE-2021-30116) em uma ferramenta de gerenciamento remoto de computadores Kaseya para lançar o ataque, com as consequências durando semanas à medida que mais e mais informações sobre o incidente vieram à tona.
O evento serviu como um lembrete das ameaças representadas pelas cadeias de suprimentos de software e grupos sofisticados de ransomware. A seguir está uma linha do tempo do ataque e das ramificações para as partes afetadas com base na página de atualização de incidentes da Kaseya e em outras fontes.
Linha do tempo do ataque ao ransomware Kaseya REvil
Sexta-feira, 2 de julho: A equipe de resposta a incidentes da Kaseya detecta um possível incidente de segurança envolvendo sua ferramenta de gerenciamento remoto de computadores Kaseya VSA
Com uma investigação em andamento, a empresa aconselhou todos os clientes locais a desligar seus servidores VSA até segunda ordem, além de desligar seus servidores SaaS como medida de precaução. A equipe interna de Kaseya, ao lado de especialistas em segurança, trabalhou para determinar a causa do problema, alertando agências de segurança cibernética do governo e de aplicação, incluindo o FBI e a CISA. Kaseya disse que os primeiros indicadores sugeriram que apenas um pequeno número de clientes locais da Kaseya (40) foram afetados e que identificaram a fonte de vulnerabilidade. Um adesivo estava sendo preparado a partir das 22h. EDT.
Sábado, 3 de julho: Kaseya confirma que foi vítima de um ataque cibernético
Domingo, 4 de julho: Kaseya anuncia atraso em colocar os data centers online novamente, lança ferramenta de detecção de comprometimento
O comitê executivo da Kaseya se reuniu e determinou que, para minimizar melhor o risco do cliente, era necessário mais tempo antes de colocar os data centers on-line novamente. Em uma entrevista no Good Morning America, Voccola disse: “Estamos confiantes de que sabemos como isso aconteceu e estamos remediando isso”. A ferramenta de detecção de comprometimento foi disponibilizada publicamente via download, enquanto o FBI e a CISA emitiram suas próprias orientações conjuntaspara MSPs e seus clientes afetados pelo ataque, instando-os a tomar medidas como garantir que os backups estejam atualizados e armazenados em um local facilmente recuperável que seja aberto à rede organizacional, revertendo para um processo manual de gerenciamento de patches e Os operadores do REvil se gabavam no “Happy Blog” do grupo de que mais de um milhão de dispositivos individuais estavam infectados e que forneceriam uma chave de decodificação universal à Kaseya por US$ 70 milhões em Bitcoin.
Segunda-feira, 5 de julho: Kaseya afirma que menos de 60 clientes comprometidos, patch sendo testado
Kaseya prometeu que o patch para usuários locais estava sendo testado e seria disponibilizado dentro de 24 horas. Em meio a relatos generalizados da mídia sobre o ataque, a empresa estimou que seria capaz de colocar seus servidores SaaS de volta on-line entre 16h e 19h. EDT em 6 de julho.
Terça-feira, 6 de julho: Kaseya adiciona camadas de segurança à infraestrutura SaaS
A Kaseya começou a configurar uma camada adicional de segurança em sua infraestrutura SaaS para alterar o endereço IP subjacente de seus servidores VSA, permitindo que eles voltassem gradualmente on-line. No entanto, após o lançamento, um problema foi descoberto, atrasando o lançamento. As equipes de operações trabalharam durante a noite para corrigir o problema com uma atualização prevista para a manhã seguinte. Uma atualização sobre o patch local afirmou que 24 horas ou menos permaneceram a escala de tempo estimada. Do outro lado da lagoa, o Centro Nacional de Segurança Cibernética do Reino Unido disse que o impacto do ataque às organizações do Reino Unido parecia ser “limitado”, embora aconselhasse os clientes a seguir as orientações da Kaseya como precaução.
Quarta-feira, 7 de julho: Kaseya pede desculpas por SaaS e atrasos no local
Kaseya publicou um guia para clientes locais se prepararem para o lançamento do patch e afirmou que uma nova atualização da Voccola deveria ser enviada por e-mail aos usuários esclarecendo a situação atual. A empresa pediu desculpas por atrasos contínuos com SaaS e implantação de correções no local.
Quinta-feira, 8 de julho: o governo dos EUA diz à Rússia que será responsabilizado; Kaseya adia o lançamento do patch
A secretária de imprensa da Casa Branca, Jen Psaki, disse que um “alto nível” de segurança nacional dos EUA entrou em contato com altos funcionários russos sobre o ataque de Kaseya para deixar claras suas intenções de responsabilizar a Rússia por ações criminosas que ocorrem dentro de suas fronteiras. Ela também disse que outra reunião focada em ransomware entre os dois países estava agendada para a semana seguinte.
Enquanto isso, Kaseya estabeleceu uma nova estimativa de domingo, 11 de julho, para o lançamento do patch local, enquanto iniciava a implantação em sua infraestrutura SaaS. Kaseya lançou dois vídeos de atualização, um da Voccola e outro do diretor técnico Dan Timpson, abordando a situação, o progresso e os próximos passos. A empresa também alertou sobre spammers explorando o incidente enviando e-mails de phishing com notificações falsas contendo links e anexos maliciosos. Ele afirmou que não enviaria atualizações por e-mail contendo links ou anexos.
Sexta-feira, 9 de julho: Kaseya atualiza conselhos de endurecimento VSA
A Kaseya atualizou seu Guia de Endurecimento e Prática Local da VSA, enquanto o vice-presidente executivo Mike Sanders falava do trabalho contínuo da equipe para colocar os clientes de volta em funcionamento. Ele também aumentou a conscientização sobre comunicações contínuas e suspeitas vindas de fora de Kaseya.
Sábado, 10 de julho: Relatório diz que Kaseya foi avisada sobre falha de segurança
Kaseya disse que permaneceu no caminho certo para lançar o patch local e ter sua infraestrutura SaaS on-line até domingo, 11 de julho, às 16h. EDT. A atualização de vídeo mais recente de Sanders delineou as etapas que as empresas poderiam tomar para se preparar para o lançamento. Enquanto isso, um artigo da Bloomberg informou que, de acordo com ex-funcionários da empresa, os executivos da Kaseya foram avisados sobre falhas críticas de segurança em seu software em várias ocasiões entre 2017 e 2020, que não resolveram
Domingo, 11 de julho: patch de lançamento da Kaseya, inicia a restauração SaaS
A Kaseya lançou o patch local e começou a restaurar sua infraestrutura SaaS antes da meta das 16h. A partir das 22h EDT, alegou ter 60% dos clientes SaaS ativos e servidores devidos on-line para o resto de seus clientes nas próximas horas. As equipes de suporte estavam trabalhando com qualquer cliente local que precisasse de assistência com o patch.
Segunda-feira, 12 de julho: restauração SaaS concluída
A restauração da infraestrutura SaaS da Kaseya estava completa a partir das 3:30 da manhã. EDT. No entanto, foi forçado a realizar manutenção não planejada devido a problemas de desempenho, causando um curto tempo de inatividade. Ele continuou a oferecer suporte a usuários locais com assistência a patches.
Terça-feira, 13 de julho: sites REvil desaparecem
Todos os sites de gangues de ransomware REvil de repente ficaram offline, deixando especialistas em segurança especulando possíveis ações dos governos dos EUA ou da Rússia. Isso deixou algumas vítimas incapazes de negociar com a REvil para recuperar dados através de uma chave de descriptografia para desbloquear redes criptografadas. Na Kaseya, os consultores levaram os usuários a continuar revisando seus vários guias do cliente para lidar com o incidente e voltar a ficar on-line.
Quarta-feira, 14 de julho: Kaseya emite conselhos de verificação de instalação de patches para os clientes
“Ao executar o patch Kinstall no seu VSA, se você optar por reinstalar o VSA e desmarcar a opção padrão para instalar o patch mais recente ou reexecutar o processo de Reinstalar VSA uma segunda vez sem a opção ‘instalar patch’ selecionada, é possível que seu patch não tenha sido reaplicado”, escreveu a empresa. “Embora estes sejam casos raros, recomendamos que você verifique se o patch mais recente foi instalado corretamente. Criamos uma ferramenta que permite garantir que o patch esteja instalado corretamente.”
Sexta-feira, 16 de julho: As vítimas lutam com a ferramenta de descriptografia, Kaseya lança patch sem segurança
Com os sites da REvil ainda offline, algumas vítimas lutaram para desbloquear arquivos e sistemas, apesar de terem pago pela ferramenta de descriptografia, mas sem nenhuma maneira de entrar em contato com a REvil para obter suporte. Kaseya anunciou que estava lançando um patch não relacionado à segurança (9.5.7.3011) para corrigir problemas de funcionalidade causados por medidas de segurança aprimoradas e outros bugs. Estima-se que as implantações comecem em 17 de julho (SaaS) e 19 de julho (no local).
Sábado, 17 de julho: As primeiras implantações atualizadas de patches SaaS entram em operação
Segunda-feira, 19 de julho: Restante de implantações atualizadas de patches SaaS entrar em operação
Terça-feira, 20 de julho: Novos patches de funcionalidade lançados
A Kaseya forneceu mais atualizações de patches (9.5.7.3015) para corrigir problemas de funcionalidade e bugs, e disponibilizou o patch atualizado no local.
Quarta-feira, 21 de julho: funcionalidade SaaS atualizada
Kaseya atualizou novamente instâncias SaaS para corrigir problemas de funcionalidade e fornecer pequenas correções de bugs. Isso resultou em uma breve interrupção (2 a 10 minutos) à medida que os serviços foram reiniciados.
Quinta-feira, 22 de julho: Kaseya adquire chave de decodificação universal
Kaseya anunciou que obteve uma chave de descriptografia universal para vítimas de ransomware. “Podemos confirmar que a Kaseya obteve a ferramenta de terceiros e ter equipes ajudando ativamente os clientes afetados pelo ransomware a restaurar seus ambientes, sem relatos de nenhum problema ou problema associado ao decodificador”, escreveu a empresa. “A Kaseya está trabalhando com a Emsisoft para apoiar nossos esforços de envolvimento com o cliente, e a Emsisoft confirmou que a chave é eficaz no desbloqueio de vítimas. Os clientes que foram afetados pelo ransomware serão contatados por representantes da Kaseya.” Em toda a indústria, surgiram especulações em massa sobre exatamente como Kaseya acessou a ferramenta de descriptografia e se um pagamento de resgate estava envolvido.
Sexta-feira, 23 de julho: Outro patch funcional e atualização SaaS lançados, Kaseya supostamente solicita a não divulgação do decodificador
À medida que as notícias da chave de decodificação fizeram manchetes globais, detalhes de como ela se tornou disponível permaneceram obscuros. Enquanto isso, a Kaseya lançou um patch de correção rápida 9.5.7b (9.5.7.3015) para clientes locais resolverem três problemas que não são de segurança. Todas as instâncias SaaS também foram atualizadas. De acordo com o relatório da aCNN, Kaseya estava solicitando a assinatura de um contrato de confidencialidade para acesso do cliente ao decodificador.
Sábado, 24 de julho: Kaseya se recusa a comentar sobre o pagamento do resgate
Fontes e pontos de comunicação de segurança continuaram a especular quanto aos detalhes de como a chave de descriptografia foi obtida, com Kaseya se recusando a comentar se pagou um resgate.
Segunda-feira, 26 de julho: Kaseya diz que a ferramenta de descriptografia é “100% eficaz”, sem resgate pago
A Kaseya divulgou a seguinte declaração sobre a chave de descriptografia: “Ao longo do fim de semana passado, a equipe de resposta a incidentes da Kaseya e os parceiros da Emsisoft continuaram seu trabalho ajudando nossos clientes e outros com a restauração de seus dados criptografados. Continuamos a fornecer o decodificador aos clientes que o solicitam e incentivamos todos os nossos clientes cujos dados podem ter sido criptografados durante o ataque a entrar em contato com seus contatos na Kaseya. A ferramenta de descriptografia provou ser 100% eficaz na descriptografia de arquivos que foram totalmente criptografados no ataque.”
Apesar das alegações de que o silêncio de Kaseya sobre se pagou um resgate aos atacantes poderia incentivar ataques adicionais de ransomware, a empresa argumentou que nada estava mais longe de seu objetivo. “Embora cada empresa deva tomar sua própria decisão sobre pagar o resgate, Kaseya decidiu, após consulta com especialistas, não negociar com os criminosos que cometeram esse ataque e não hesitamos com esse compromisso. Como tal, estamos confirmando em termos inequívocos que Kaseya não pagou um resgate – direta ou indiretamente através de terceiros – para obter o decodificador.”
FONTE: CSO ONLINE