No último final de semana, a Kaseya publicou uma esperada atualização para o VSA, um popular produto usado na administração remota de computadores que se tornou o pivô de um ataque de grandes proporções causado pelos operadores do ransomware REvil. O incidente resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.
Por Carlos Cabral
O REvil, também chamado de Sodinokibi, é uma das gangues mais prolíficas da atualidade, operando com dezenas de indivíduos em um regime bastante profissional de divisão de tarefas no qual uma parte da quadrilha conduz a invasão dos ambientes e outra é responsável por dar constante manutenção ao seu ransomware e fazer a gestão financeira da quadrilha, negociando o resgate com as vítimas.
O modus operandi do grupo se baseia na condução de ataques de double extortion: incidentes em que os atacantes tomam o controle da rede da vítima, extraem dados sensíveis, ativam o ransomware que criptografa os dados da maior quantidade de ativos possível (inclusive backups) e pedem um resgate para que a vítima volte a ter acesso aos dados e evite que a quadrilha vaze o material que obteve.
No recente episódio envolvendo a Kaseya, a crucial parcela das vítimas é formada por prestadores de serviços de tecnologia cuja implementação do VSA é parte do serviço de gestão remota que vendem.
Os atacantes exploraram uma série de zero-days no produto que permitiam burlar sua autenticação, fazer o upload arbitrário de arquivos maliciosos e injetar código no software. A partir daí, puderam usar de uma série de outras táticas e ferramentas para se movimentar na rede, mas como foi observado pela Sophos, o próprio agente do VSA presente nos endpoints, pode ter sido abusado para tomar o controle das outras redes e ativar o ransomware, pois ele possui privilégios de acesso elevados nas máquinas, tendo sua atividade classificada como legítima por ferramentas de segurança, como antivírus.
A forma pela qual os criminosos tiveram acesso aos detalhes das vulnerabilidades ainda é indeterminada, no entanto as fragilidades haviam sido anteriormente identificadas por pesquisadores do Instituto Holandês de Divulgação de Vulnerabilidades que as reportaram à Kaseya.
Embora a interceptação da comunicação dos pesquisadores com a Kaseya seja uma possibilidade que não deve ser desprezada, casos em que mais de uma pessoa encontra a mesma vulnerabilidade não são incomuns, sobretudo em momentos nos quais um incidente de grandes proporções chama a atenção para um tipo específico de tecnologia.
As atenções, tanto de pesquisadores de segurança, quanto de cibercriminosos de todos os tipos estão voltadas para os sistemas de gestão de rede e de servidores desde o incidente contra a Solarwinds, ocorrido no final do ano passado e que afetou empresas e governos em todo o mundo. Desta forma, ainda é possível que voltemos a falar sobre novas falhas em ferramentas desse tipo em um futuro próximo.
Últimas palavras: No momento em que escrevo essa coluna, os sites ligados ao ransomware REvil estão fora do ar. Ainda não está claro se os criminosos desligaram tudo para temporariamente saírem do radar ou se a situação é resultado de operação policial.
Up to 1,500 businesses infected in one of the worst ransomware attacks ever