Novo ataque de ransomware tem como alvo principal fornecedor de TI dos EUA
Gangue cibercriminosa, que supostamente opera na Europa Oriental ou na Rússia, teve como alvo um importante fornecedor de software conhecido como Kaseya
Oficiais cibernéticos dos EEstados Unidos estão rastreando um novo grande ataque de ransomware pelo mesmo grupo que atingiu o fornecedor de carne JBS Foods.
Desta vez, o malware REvil atingiu uma ampla gama de empresas de gerenciamento de TI e comprometeu centenas de seus clientes corporativos.
A gangue cibercriminosa, que supostamente opera na Europa Oriental ou na Rússia, teve como alvo um importante fornecedor de software conhecido como Kaseya, cujos produtos são amplamente usados ??por empresas de gerenciamento de TI, disseram especialistas em segurança cibernética.
Este último ataque de ransomware já eliminou pelo menos uma dúzia de empresas de suporte de TI que contam com a ferramenta de gerenciamento remoto da Kaseya chamada VSA, disse Kyle Hanslovan, CEO da empresa de segurança cibernética Huntress Labs. Em pelo menos um caso, disse Hanslovan, os hackers exigiram um resgate de US$ 5 milhões.
O incidente não afeta apenas as empresas de gerenciamento de TI, mas também as empresas de clientes corporativos que terceirizaram o gerenciamento de TI, disse Hanslovan. Ele estimou que cerca de 1.000 pequenas e médias empresas podem ser afetadas pelo hack.
“Isso tem apenas três horas e meia, então é muito novo e não sabemos a escala ainda”, disse Hanslovan.
Nos últimos meses, os cibercriminosos têm cada vez mais visado organizações que desempenham funções críticas em diversas áreas da economia dos EUA. Um ataque contra o Oleoduto Colonial em maio interrompeu os embarques de combustível para os postos de gasolina ao longo da costa leste, levando à compra generalizada por pânico. O ataque cibernético da JBS levou à paralisação temporária de todas as nove fábricas de processamento de carne bovina nos Estados Unidos.
O ataque mais recente, que se desenrolou rapidamente, gerou alarme entre os especialistas em segurança cibernética.
“Se você usar o Kaseya VSA, desligue-o agora até que lhe seja dito para reativar e iniciar [resposta a incidentes]”, tuitou Christopher Krebs, ex-diretor da Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna. Em sua própria assessoria, a CISA disse que está trabalhando para entender e resolver o problema.
Em um post de blog, a Kaseya disse que desligou seus servidores em nuvem enquanto investiga o incidente com o VSA.
“Estamos investigando um possível ataque contra o VSA que indica ter sido limitado a apenas um pequeno número de nossos clientes locais”, disse Kaseya. “Desligamos proativamente nossos servidores SaaS por precaução.”
Uma análise do software malicioso pela empresa de segurança cibernética Emsisoft mostra que ele foi criado pela REvil, a gangue de ransomware que, segundo autoridades americanas, comprometeu a JBS Foods.
Enquanto isso, três dos provedores de serviços de TI comprometidos estão entre os clientes de segurança cibernética da Huntress Labs, disse Hanslovan.
“Temos conhecimento direto disso agora e confirmamos que é de fato REvil”, disse Hanslovan.
Cerca de 200 dos três clientes dos provedores de serviços de TI afetados foram comprometidos pelo malware, disse Hanslovan.
O ransomware parece ter sido secretamente embutido no Kaseya VSA, o que ajudou a espalhar o software malicioso porque o VSA é usado por empresas de gerenciamento de TI para distribuir atualizações de software a seus clientes, disse Hanslovan. Não está claro como o software da Kaseya foi comprometido pela primeira vez.
Esse ataque no estilo da cadeia de suprimentos é semelhante à tática usada pelos hackers russos no comprometimento do SolarWinds, embora, neste caso, o software malicioso tenha sido usado para sequestrar as redes das vítimas, em vez de espioná-las.
(Texto traduzido. Para ler o original em inglês, clique aqui).