A Kaseya uma fornecedora de software de gerenciamento de TI, adiou um anúncio sobre a restauração de seus serviços SaaS, após sofrer ataques a cadeia de suprimentos que viu seus produtos se tonarem um mecanismo de entrega para ransomware Revil.
Recentemente a atualização da empresa sobre o incidente, na data de 4 de julho de 2021, as 17:45, informava inicialmente que mais informações seriam publicadas “muito tarde” na mesma data, após uma reunião do comitê executivo da empresa.
A última atualização sobre o ataque, diz que o comitê se reuniu as 22h00 EDT e decidiu que “para minimizar da melhor forma o risco do cliente … era necessário mais tempo antes de colocarmos os data centers novamente online”.
Mais informações estão agora “previstas para serem publicadas em 5 de julho pela manhã EDT”.
A atualização é muito importante, pós na última sexta-feira a Kaseya aconselhou seus usuários de seu software local a desliga-lo mais rápido possível após a detecção de um novo ataque a cadeia de suprimento em seu produto VSA, que é uma ferramenta que combina gerenciamento de endpoit e monitoramento de rede. O VSA pode automatizar tarefas como gerenciamento de patches e backups e fornece ferramentas para controle de acesso e gerenciamento remoto.
Kaseya tem como seu principal mercado os provedores de serviços gerenciados MSPs, são consultorias de TI cujo ponto de vendas é cuidar da tecnologia de seus clientes, portanto, um ataque ao VSA é potencialmente um evento de super espalhamento para o REvil.
Ao ter noção do ataque, a Kaseya pediu que seus clientes desligassem seus servidores VSA, pos o ataque fechava o acesso do administrador ao pacote, também foi encerrado seus serviços de SaaS como medida de precaução.
Na página de atualização de status, a kaseya declarou que inicialmente o incidente impactou “Apenas uma porcentagem muito pequena de nossos clientes … atualmente estimado em menos de 40 em todo o mundo”. A empresa não voltou a usar essa linguagem: já que prefere afirmar que “apenas um número muito pequeno de clientes locais” foi atingido.
Huntress uma empresa de segurança, foi uma das primeiras fontes a detectar o ataque, estima-se que “cerca de 30 MSPs nos EUA, AUS, UE e LATAM” foram violados e que mais de 1.000 organizações foram infectadas com ransomware como resultado.
Relatórios de organizações afetadas pelo ataque começaram a surgir em todo o mundo, teve escolas na Nova Zelândia entre as vítimas do ataque, assim como a rede de supermercados sueca Coop, que também avisou os clientes que muitas de suas lojas estão fechadas e as que estão abertas só podem aceitar o sistema Scan & Pay.
Aos clientes a Kaseya garantiu que está trabalhando muito para criar uma versão segura de seu software, contratou consultores externos para investigar o que aconteceu e informou as autoridades.
A resposta mais tangível é a publicação de uma ferramenta que detecta qualquer vestígio do ataque, que foi postado na caixa de armazenamento em nuvem, mais informações no site da Kaseya.
Logo após o ataque ser divulgado, o Instituto Holandês para Divulgação de Vulnerabilidades revelou que recentemente “descobriu vulnerabilidades graves no Kaseya VSA”. Na segunda postagem foi afirmado que a Kaseya levou os relatórios de bug a sério e estava trabalhando em melhorias.
Então as coisas ficaram em forma de pera.
“Eles demonstraram um compromisso genuíno em fazer a coisa certa”, Victor Gevers, o presidente e chefe de pesquisa do instituto escreveu. “Infelizmente, fomos derrotados pelo REvil no sprint final, pois eles podiam explorar as vulnerabilidades antes mesmo que os clientes pudessem corrigir.”
A análise de Huntress do ataque é que é uma injeção de SQL. A empresa afirmou ter “alta confiança de que um bypass de autenticação foi usado para obter acesso a esses servidores”.
Gevers observou que suas varreduras sugerem que o número de servidores VSA acessíveis pela Internet caiu de 2.200 para menos de 140 nas 48 horas anteriores à sua postagem.
A queda sugere que os usuários estão antenados aos conselhos de autoridades como a CISA, Agência de Segurança de Infraestrutura e Cibersegurança dos EUA , que recomendou aos usuários seguir o conselho da Kaseya para colocar os servidores VSA offline. A Agência recomendou que os usuários habilitem e apliquem a autenticação multifator o mais rápido possível, coloquem seus backups em ordem e armazenados em sistemas sem ar e garantam que as ferramentas de monitoramento e gerenciamento remotos sejam limitadas à comunicação entre pares de endereços IP conhecidos.
Joe Biden presidente dos EUA, ordenou às agências governamentais do país que investiguem o incidente.
Biden não atribuíuo ataque, a CISA sugeriu que seja obra de REvil, uma gangue que se acredita estar baseada na Rússia e ter pelo menos o apoio tácito do governo russo. Os leitores devem se lembrar que Biden convocou seu homólogo russo Vladimir Putin para controlar gangues de ransomware em junho de 2021 entre os dois líderes. Putin rejeitou essa sugestão e afirmou que os EUA são os perpetradores de muitos ataques cibernéticos.
A Revil na manhã do dia 5 julho definiu seu preço: US $ 70 milhões em Bitcoin. E de acordo com um anúncio em seu blog não indexado, Happy Blog: “Na sexta-feira, lançamos um ataque a provedores de MSP. Mais de um milhão de sistemas foram infectados. Se alguém quiser negociar sobre o descriptografador universal – nosso preço é 70.000.000 $ [ £ 50,56 milhões, € 59 milhões ] em BTC e publicaremos publicamente o descriptografador que descriptografa os arquivos de todas as vítimas, para que todos possam se recuperar do ataque em menos de uma hora. Se você estiver interessado em tal acordo – o contato está usando as instruções do arquivo ‘leia-me’ das vítimas. ”
