Criminosos usaram ransomware para acessar sistema que oferece ferramentas de TI para companhias de todo o mundo. Ataque teria afetado empresas em ao menos 17 países
Kaseya, é uma empresa de TI corporativa bem conhecida no mercado e está no centro do último ataque de criptografia de dados da REvil. No sábado a empresa confirmou que seus clientes foram vítimas de um ataque ao seu produto VSA, software para monitorar remotamente PCs, servidores, impressoras, redes e sistemas de ponto de venda.
“O produto VSA da Kaseya infelizmente foi vítima de um ataque cibernético sofisticado. Devido à resposta rápida de nossas equipes, acreditamos que isso foi localizado apenas para um número muito pequeno de clientes locais.” Informou o comunicado.
Porém os clientes da Kaseya são provedores de serviços gerenciados, e o ataque também gerou um impacto indireto sobre os clientes que contam com o VSA para fornecer serviços de monitoramento remoto. A Huntress Security informou que o software VSA da Kaseya foi usado para espalhar o ransomware que criptografou “bem mais de 1.000 empresas”.
Um impacto significativo foi na Suécia em uma rede de supermercados chamada Coop, forçando muitas de suas lojas a permanecer fechadas no domingo. A Coop é uma das maiores redes de supermercados da Suécia. Os sistemas de pedido e entrega online da Coop ainda estavam disponíveis, mas os sistemas de ponto de venda não. O varejista manteve as portas abertas no domingo, mas os funcionários recusaram a entrada dos clientes e lhes deram morangos, lanches e café de cortesia.
A gangue que usou o serviço de ransomware REvil para atacar a empresa de TI Kaseya e seus clientes ofereceu uma chave de descriptografia universal por um preço recorde de US $ 70 milhões, se alguém quiser pagar por ela.
Os invasores parecem não ter roubado dados das redes antes do ataque – uma técnica comumente usada para pressionar as vítimas a pagar ou arriscar a exposição de informações confidenciais.
O ataque explorou uma vulnerabilidade de dia zero ou previamente desconhecida no Kaseya VSA.
“Todos os servidores VSA locais devem continuar offline até novas instruções da Kaseya sobre quando é seguro restaurar as operações”, disse a Kaseya em um comunicado.
O presidente dos EUA, Joe Biden, disse no sábado que os EUA acreditam que o Kremlin não está conectado ao ataque, mas que, se estiver, ele disse a Putin que os EUA responderão.
No domingo, a vice-conselheira de segurança nacional para tecnologias cibernéticas e emergentes, Anne Neuberger, pediu às vítimas que relatassem os incidentes ao IC3 (Internet Crime Complaint Center) do FBI.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o FBI emitiram orientações conjuntas no domingo.
A CISA aconselhou os clientes do VSA a baixar a ferramenta de detecção do VSA, que ajuda as equipes de segurança a pesquisar a presença de componentes REvil em suas redes. Também recomendou impor autenticação multifator “em cada conta que está sob o controle da organização”. Ou seja, não apenas contas de administrador com altos privilégios.
“Implementar a lista de permissões para limitar a comunicação com recursos de monitoramento e gerenciamento remoto (RMM) para pares de endereços IP conhecidos e / ou colocar interfaces administrativas do RMM atrás de uma rede privada virtual (VPN) ou um firewall em uma rede administrativa dedicada”, disse CISA.
Em caso de um ataque cibernético em sua empresa, você sabe quais são os passos a serem tomados para salvar seus dados?
Você sabia que a Ksecurity tem um time de especialistas em segurança digital?
Converse agora com um de nossos consultores e saiba como se prevenir de ataques como este: comercial@ksecurity.com.br
Fonte: G1