Entenda o ataque cibernético que afetou a Kaseya

No último dia 2 de julho, um grupo russo de hackers explorou uma falha do software de gestão da empresa Kaseya, afetando seus sistemas e causando problemas para ela e seus clientes.

O ataque cibernético em massa afetou cerca de 1,5 mil empresas em 17 países. Os invasores prometeram devolver o acesso aos dados em troca de 70 milhões de dólares, o equivalente a 364 milhões de reais.

Os hackers prometeram liberar um descriptografador para que todos os arquivos fossem recuperados em pelo menos uma hora após o pagamento do resgate.

Conhecida como “REvil”, a organização assumiu a autoria do ataque virtual à Kaseya. Ela também foi responsável pela invasão que paralisou a produção da JBS, maior processador mundial de carnes, em junho deste ano.

Efeito dominó

Com sede na Flórida, Estados Unidos, a Kaseya é responsável pelo programa de monitoramento e gerenciamento remoto utilizado por mais de 40 mil empresas. Destas, apenas 60 foram afetadas diretamente pelo ciberataque.

Porém, como muitos dos clientes da Kaseya prestam serviços para outros empreendimentos, os sistemas encontram-se interligados em uma rede.

Essa conexão resultou em um efeito dominó, pois o malware instalado se espalhou rapidamente e criptografou os arquivos que encontrou pelo caminho.

A rede de supermercados Coop, da Suécia, precisou suspender o funcionamento de suas lojas porque não conseguia usar o sistema das caixas registradoras, que era gerenciado por uma das empresas clientes da Kaseya.

Como foi a invasão?

O tipo de vírus foi um ransomware que consegue criptografar arquivos de computadores. O acesso só é liberado mediante  pagamento de resgate ao hacker, ou seja, é como se fosse um sequestro de dados no mundo digital.

Nesse tipo de ataque cibernético, os ransomwares são infiltrados em softwares utilizados com frequência e se espalham à medida que os sistemas são atualizados.

A criptografia é a prática de codificar dados, fazendo com que eles deixem de ter o formato original e, portanto, não consigam mais ser lidos pelos proprietários.

Os arquivos só podem ser decodificados e voltarem ao formato original por meio do uso de uma chave de decriptografia específica. É por essa chave que os hackers russos pedem o resgate, pois sem ela os dados tornam-se inúteis.

Providências

Este pode ser considerado o maior ataque cibernético com ransomware de todos os tempos, pois atingiu uma proporção nunca vista em casos parecidos.

A Kaseya pediu aos clientes que usam sua plataforma de administração de sistemas, a VSA, que desligassem imediatamente seus servidores para tentar barrar a possibilidade de suas informações serem capturadas pelo ciberataque.

A Agência Federal de Investigação (FBI) e a Agência de Segurança Cibernética e Infraestrutura (CISA), entre outras autoridades americanas, auxiliaram nas investigações.

O presidente dos EUA, Joe Biden, alertou o líder russo Vladimir Putin para que este tomasse medidas contra os hackers que operam na Rússia há muito tempo.

No dia 12 de julho, a Kaseya informou que havia recuperado completamente os servidores. Esses ataques são uma forma cada vez mais lucrativa de fazer reféns no universo virtual.

Como opera o grupo russo?

O REvil, também chamado de Sodinokibi, é uma das quadrilhas de hackers mais conhecidas da atualidade. Opera com dezenas de indivíduos em regime “profissional” com divisão de tarefas.

Enquanto uma parte do grupo realiza a invasão dos sistemas, a outra fica com a responsabilidade de dar constante manutenção ao ransomware, fazer a gestão financeira do grupo e negociar o resgate dos dados com as vítimas.

Os hackers conduzem o ataque ao modo double extortion, que ocorre quando os piratas da internet tomam o controle da rede, extraem dados importantes e confidenciais e ativam o ransomware que criptograva dos dados das vítimas.

Em seguida, pedem um resgate em dinheiro ou bitcoins para que devolvam o controle dos dados e não tornem públicas as informações obtidas de forma ilegal.

O grupo explorou uma série de “zero-day” no produto que permite burlar sua autenticação, fazer o upload arbitrário de arquivos e instalar o software pirata.

Com isso, podem usar uma série de táticas e ferramentas para se movimentarem na rede e terem acesso a todos os arquivos que estão lá.

Uma ferramenta da própria Kaseya pode ter sido utilizada para tomar o controle do sistema e ativar o software malicioso, pois ele possui privilégios de acesso de alto nível nas máquinas, passando de forma autorizada por antivírus.

A forma exata usada pelo grupo ainda é indeterminada, porém, ficou nítida a fragilidade da proteção da empresa norte-americana aos seus sistemas.