Novo ataque de ransomware compromete mil empresas americanas

Mais um ataque cibernético atribuído ao grupo REvil, que opera uma empresa de “ransomware como serviço“, comprometeu centenas de empresas americanas na última sexta-feira. A contagem mais recente fala em mil empresas, a maioria delas cliente da Kaseya, fornecedora da plataforma de nuvem VSA, muito usada por provedores de serviços gerenciados (MSPs). Portanto, os efeitos desse ataque podem ser bem maiores – tornando-o potencialmente um dos maiores ataques de ransomware da história. Já se sabe que os cibercriminosos usaram a rede corporativa da Kaseya para atingir perto de 50 de seus clientes. 

A empresa de segurança Huntress, por exemplo, disse ao Gizmodo que três de seus clientes, que são MSPs e usam VSA, foram afetados pelo ataque e que, como resultado, cerca de 200 pequenas empresas que dependem desses MSPs foram atingidas com criptografia.

“Estamos cientes de quatro MSPs em que todos os clientes são afetados – 3 nos Estados Unidos e um no exterior. MSPs com milhares de endpoints estão sendo atingidos ”, disse John Hammond, pesquisador de segurança sênior da Huntress. 

A Kaseya, com sede na Flórida, presta serviços a mais de 40 mil organizações em todo o mundo, e pediu aos clientes que usam sua plataforma de administração de sistemas para desligar imediatamente seus servidores para evitar a possibilidade de serem comprometidos. 

“Acreditamos ter identificado a fonte da vulnerabilidade e estamos preparando um patch para mitigá-la para nossos clientes locais que serão testados exaustivamente”, acrescentou a Kaseya em um comunicado emitido no sábado. “Vamos lançar esse patch o mais rápido possível para colocar nossos clientes de volta em operação.”

Será necessário instalar o patch antes de reiniciar o VSA e um conjunto de recomendações sobre como aumentar sua postura de segurança.  Todos os servidores VSA locais devem continuar off-line até que novas instruções da Kaseya sobre quando é seguro restaurar as operações. Os executivos da Kaseya estão entrando em contato diretamente com os clientes afetados para entender suas situações e que tipo de assistência é possível. 

A REvil é uma importante gangue de criminosos cibernéticos que usou ransomware para perseguir alvos importantes, incluindo Apple e Acer. Também se acredita ser a gangue que atacou o fornecedor de carne JBS, extorquindo o grande fornecedor de carne por US $ 11 milhões.

O FBI está investigando o incidente, em coordenação com a CISA, para realizar ações de sensibilização para as vítimas possivelmente afetadas. “Se você acredita que seus sistemas foram comprometidos, encorajamos você a empregar todas as atenuações recomendadas, seguir a orientação da Kaseya para desligar seus servidores VSA imediatamente e relatar ao FBI”, disse o bureau.

O Washington Post relata que os hackers foram flagrados enviando “duas notas de resgate diferentes na sexta-feira – exigindo US $ 50.000 de empresas menores e US $ 5 milhões de empresas maiores”.

Na opinião de analistas de mercado, o ataque à Kaseya está à altura do ataque à plataforma Orion, da empresa SolarWinds. Os invasores conseguiram se infiltrar no processo de compilação das atualizações da Orion, sem deixar rastros. Pesquisadores de cibersegurança dizem que provavelmente espiões ainda estejam ativos por meio das redes violadas.

Nos últimos meses, empresas americanas têm se tornado alvo preferencial dos cibercriminosos. Em maio, a empresa Colonial, um dos maiores oleodutos que operam nos Estados Unidos, se viu obrigada a suspender suas atividades após sofrer um ciberataque. Na época, o FBI confirmou que por trás do ato criminoso estava o DarkSide, que operava em solo russo. A suspensão da atividade da Colonial, com os 8.850 quilômetros de oleodutos que gere entre o Texas e Nova York, prejudicou um serviço vital para abastecer os grandes núcleos de população do leste e sul dos Estados Unidos, já que todos os dias transporta o equivalente a 2,5 milhões de barris de gasolina, diesel e combustível de aviação, o que representa 45% do abastecimento de toda a costa leste.

Semanas depois, um ataque à JBS levou à paralisação temporária de todas as nove fábricas de processamento de carne bovina nos Estados Unidos e Canadá.

Um problema para as nações

A Agência de Segurança Nacional (NSA) e outras agências de segurança do governo americano emitiram um comunicado conjunto na quinta-feira sobre como a inteligência militar russa tem tentado invadir redes de computadores privadas e governamentais nos últimos dois anos. O comunicado não cita hacks específicos, embora forneça páginas de detalhes técnicos, observando, por exemplo, que os invasores frequentemente buscam passar pelos serviços em nuvem para atingir o alvo pretendido.

Essa intensa atividade dos cibercriminosos nos EUA geraram novas conversas sobre a possibilidade de um acordo cibernético internacional que estabeleceria as regras básicas para o que é ou não permitido e definiria sanções para os violadores. Mas muitos especialistas cibernéticos continuam profundamente céticos quanto à possibilidade de tal acordo ser alcançado, quanto mais aplicado. Até porque, essas discussões já se arrastam há anos.

O primeiro grande desafio seria simplesmente fazer com que todos concordassem com as regras. Rússia, China, Irã e Coréia do Norte foram acusados ​​de invasões significativas contra os EUA, e analistas dizem que esses países consideram os ataques cibernéticos baratos, eficazes e fáceis de negar.

Nem mesmo está claro se esses países estariam dispostos a realmente concordar com os termos, porque os ataques cibernéticos para eles são “realmente úteis em seu posicionamento geopolítico”, disse April Falcon Doss, ex-oficial da NSA, à NPR.

Na sua opinião, um tratado cibernético seria extremamente difícil de monitorar e aplicar. Isso porque a produção, o desenvolvimento e o armazenamento de armas nucleares, biológicas e químicas são fundamentalmente diferentes da natureza efêmera das armas cibernéticas.