Na última sexta-feira (2), o grupo de hackers especializados em ransomware, REvil (ou Sodinokibin), realizou um ataque comprometendo todos os sistemas da companhia de tecnologia da informação Kaseya. O ataque foi replicado e atingiu revendedores e clientes finais que utilizam o software da empresa. 

A Kaseya, em comunicado, afirmou que as equipes de segurança e suporte estão trabalhando 24 horas por dia para resolver o problema e restaurar o serviço. A empresa contratou a companhia especialista em segurança cibernética FireEye Mandiant IR para ajudar a solucionar a crise. 

Entre os atingidos estão escolas, órgãos públicos, hospitais, cooperativas de crédito, contadores e organizações de viagens e lazer, disse Ross McKerchar, diretor de segurança da informação do Sophos Group.  

Como ocorreu o ataque? 

O ataque ocorreu a partir da exploração de uma falha zero-day. 

A falha zero-day consiste em uma vulnerabilidade explorada antes que uma correção seja liberada.  

A falha, descoberta pelo pesquisador de segurança Wietse Boonstra, do Instituto Holandês para Divulgação de Vulnerabilidades (DIVD na sigla em inglês), e identificada como CVE-2021-30116, já estava sendo estuda e a Kaseya estava providenciando uma solução para o problema. 

No entanto, o ataque foi realizado antes da empresa de tecnologia da informação concluir o trabalho de solução da vulnerabilidade. 

 Como o problema envolve o mecanismo de atualização do sistema, os invasores conseguiram espalhar o ransomware rapidamente. Para isso, o grupo utilizou a estratégia de inserir código malicioso em um software legítimo que, por sua vez, foi distribuído pelo mecanismo de atualização. 

No ataque à Kaseya, houve um agravante: as pastas do VSA no Windows são configuradas de forma a fazer ferramentas de segurança ignorarem o seu conteúdo. Isso permitiu ao malware ser executado localmente e, na sequência, ativar uma versão atualizada do serviço antimalware do Windows Defender para passar ileso por esta ferramenta. 

A partir daí, o ransomware encontrou o caminho livre para criptografar arquivos nos computadores contaminados e, assim, completar o ataque. 

Resgate de US$ 70 milhões 

Em uma postagem publicada pelo REvil em um blog na dark web, os hackers afirmaram estar dispostos a liberar uma ferramenta de descriptografia universal, capaz de recuperar os dados de todas as vítimas. No entanto, para isso, seria necessário pagar um resgate no valor de US$ 70 milhões em bitcoins. 

O valor exigido pelo resgate é o maior já pedido pelo REvil até o momento. 

Impactos  

No sábado (3), a empresa de segurança digital ESET Research identificou vítimas em 17 países. O grupo REvil, responsável pelo ataque, diz que mais de 1 milhão de computadores no mundo foram infectados. 

Ainda no sábado, como consequência do ciberataque, uma das principais redes de supermercado da Suécia anunciou o fechamento temporário de cerca de 800 lojas após a paralisação do sistema de caixas. 

Na segunda-feira (6), Fred Voccola, presidente executivo da Kaseya disse, em entrevista à Reuters, que entre 800 e 1500 empresas foram afetadas pelo ataque. O executivo também afirmou a dificuldade em se estimar, com precisão, os impactos, principalmente porque grande parte dos afetados são clientes da Kaseya. 

O FBI, a Agência de Segurança de Infrestrutura e Cibersegurança dos Estados Unidos (CISA) e outras agências estão trabalhando “para entender a escala da ameaça”. 

O presidente dos Estado Unidos, Joe Biden, declarou no sábado que ordenou uma investigação, em particular para determinar se o ataque veio ou não da Rússia. “Ainda não temos certeza”, disse o presidente.  

O ataque já é considerado um dos maiores já realizados com ransomware. “É provavelmente o maior ataque de ransomware de todos os tempos”, disse Ciaran Martin, professor de segurança cibernética da Universidade de Oxford. 

Ações do REvil  

Em maio de 2021, a JBS, uma das maiores empresas de distribuição de alimentos do mundo, foi vítima do grupo REvil. Na ocasião, os hackers atacaram as filiais da empresa no Canadá, Estados Unidos e Austrália, provocando a paralisação de algumas das operações da empresa. 

A unidade da empresa nos Estados Unidos pagou um total de US$ 11 milhões pelo resgate mesmo após a maioria dos seus frigoríficos retomarem a operação. Em comunicado, a JBS informou que o objetivo do pagamento era reduzir problemas relacionados à invasão e evitar o vazamento de dados. 

Em 22 de junho de 2021, o sistema do Grupo Fleury sofreu um ataque hacker reivindicado pelo grupo REvil.  

O REvil também é responsável pelo ataque ao Tribunal de Justiça do Rio Grande do Sul (TJRS) e à empresa de armas nucleares Sol Oriens. 

O grupo atua com o modelo ransomware as a service (RaaS), um modelo que permite que pessoas sem habilidades técnicas ou experiência consigam realizar ataques e arrecadar valores com os resgates. 

Neste modelo, cibercriminosos afiliados utilizam ferramentas já desenvolvidas para realizar o ataque. Geralmente, parte do valor do pagamento de resgate das vítimas é repassada para os responsáveis pela comercialização do “kit de ransomware”. 

Segurança da informação 

O investimento em soluções e serviços de segurança da informação são fundamentais para proteger a rede e os sistemas de uma empresa contra ataques cibernéticos.  

Serviços como a análise de vulnerabilidades permite que a empresa identifique falhas presentes na rede e atue de forma preventiva, combatendo as vulnerabilidades encontradas antes que sejam exploradas por cibercriminosos. 

Além da análise, ferramentas como endpoint protection e firewall são essenciais para garantir a proteção do seu negócio contra ameaças cibernéticas internas e externas. O firewall atua como uma barreira controlando qual tipo de informação entra em sua rede privada, impedindo a entrada de invasores. É uma ferramenta essencial para qualquer ambiente de TI. 

Já o endpoint promove a proteção de toda a infraestrutura de TI do seu negócio, garantindo a segurança das informações independente de onde elas estejam localizadas, sejam em um computador, no escritório da empresa ou no celular de um funcionário em regime home office. 

Outra solução fundamental na proteção contra ataques utilizando ransomware é a segmentação de redes. Separar as redes internas ajuda a conter os danos causados por uma possível invasão, além de permitir uma melhor gerência dos dados trafegados. 

A SdREDES fornece os melhores serviços e soluções de segurança de redes. Entre em contato com a nossa equipe e invista na segurança e integridade da sua empresa.  

 Fonte: Reuters, G1