Últimas notícias

Fique informado
Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

14 de julho de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Up to 1,500 businesses infected in one of the worst ransomware attacks ever

Hackers affiliated with REvil, one of ransomware’s most cutthroat gangs, exploited a zero-day vulnerability in the Kaseya VSA remote management service.

9 de julho de 2021

No último final de semana, a Kaseya publicou uma esperada atualização para o VSA, um popular produto usado na administração remota de computadores que se tornou o pivô de um ataque de grandes proporções causado pelos operadores do ransomware REvil. O incidente resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

Por Carlos Cabral

Carlos Cabral

O REvil, também chamado de Sodinokibi, é uma das gangues mais prolíficas da atualidade, operando com dezenas de indivíduos em um regime bastante profissional de divisão de tarefas no qual uma parte da quadrilha conduz a invasão dos ambientes e outra é responsável por dar constante manutenção ao seu ransomware e fazer a gestão financeira da quadrilha, negociando o resgate com as vítimas.  

O modus operandi do grupo se baseia na condução de ataques de double extortion: incidentes em que os atacantes tomam o controle da rede da vítima, extraem dados sensíveis, ativam o ransomware que criptografa os dados da maior quantidade de ativos possível (inclusive backups) e pedem um resgate para que a vítima volte a ter acesso aos dados e evite que a quadrilha vaze o material que obteve. 

No recente episódio envolvendo a Kaseya, a crucial parcela das vítimas é formada por prestadores de serviços de tecnologia cuja implementação do VSA é parte do serviço de gestão remota que vendem.

Os atacantes exploraram uma série de zero-days no produto que permitiam burlar sua autenticação, fazer o upload arbitrário de arquivos maliciosos e injetar código no software. A partir daí, puderam usar de uma série de outras táticas e ferramentas para se movimentar na rede, mas como foi observado pela Sophos, o próprio agente do VSA presente nos endpoints, pode ter sido abusado para tomar o controle das outras redes e ativar o ransomware, pois ele possui privilégios de acesso elevados nas máquinas, tendo sua atividade classificada como legítima por ferramentas de segurança, como antivírus.

A forma pela qual os criminosos tiveram acesso aos detalhes das vulnerabilidades ainda é indeterminada, no entanto as fragilidades haviam sido anteriormente identificadas por pesquisadores do Instituto Holandês de Divulgação de Vulnerabilidades que as reportaram à Kaseya.

Embora a interceptação da comunicação dos pesquisadores com a Kaseya seja uma possibilidade que não deve ser desprezada, casos em que mais de uma pessoa encontra a mesma vulnerabilidade não são incomuns, sobretudo em momentos nos quais um incidente de grandes proporções chama a atenção para um tipo específico de tecnologia.

As atenções, tanto de pesquisadores de segurança, quanto de cibercriminosos de todos os tipos estão voltadas para os sistemas de gestão de rede e de servidores desde o incidente contra a Solarwinds, ocorrido no final do ano passado e que afetou empresas e governos em todo o mundo.  Desta forma, ainda é possível que voltemos a falar sobre novas falhas em ferramentas desse tipo em um futuro próximo.

Últimas palavras: No momento em que escrevo essa coluna, os sites ligados ao ransomware REvil estão fora do ar. Ainda não está claro se os criminosos desligaram tudo para temporariamente saírem do radar ou se a situação é resultado de operação policial. 

Up to 1,500 businesses infected in one of the worst ransomware attacks ever

22mai09:0018:00The Tech Summit 20241ª edição no dia 22 de maio no Palácio Tangará, em São Paulo. 09:00 - 18:00 PALÁCIO TANGARÁ, R. Dep. Laércio Corte, 1501 - São Paulo, SP