Últimas notícias

Fique informado
Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

14 de julho de 2021

Spotlight

Philip R. Zimmermann apresenta o 3º episódio AET Security Topics: Quantum Key Distribution

Philip R. Zimmermann, um dos maiores criptógrafos, apresenta uma nova webserie. Não perca o 1º episódio! Com legenda em português!

15 de setembro de 2021

NSA publica atualização sobre criptografia resistente a quantum

A NSA publicou o FAQ “Quantum Computing and Post-Quantum Cryptography. Confira nesse artigo!

3 de setembro de 2021

A condição paradoxal do hacktivismo

O início dos anos 2000 foi marcado pela formação do movimento Anonymous e por ataques relevantes, classificados como hacktivistas.

1 de setembro de 2021

CertForum 2021: Fórum Mundial de Assinatura Digital

Como parte integrante do CertForum, será realizado o Fórum Mundial de Assinatura Digital, com o objetivo de ampliar o debate do uso da assinatura digital.

1 de setembro de 2021

CertForum 21: evento on-line para quem quer saber tudo sobre identificação digital e documentos eletrônicos

O CertForum é realizado pelo Instituto Nacional de Tecnologia da Informação (ITI) e organizado pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

31 de agosto de 2021

Up to 1,500 businesses infected in one of the worst ransomware attacks ever

Hackers affiliated with REvil, one of ransomware’s most cutthroat gangs, exploited a zero-day vulnerability in the Kaseya VSA remote management service.

9 de julho de 2021

No último final de semana, a Kaseya publicou uma esperada atualização para o VSA, um popular produto usado na administração remota de computadores que se tornou o pivô de um ataque de grandes proporções causado pelos operadores do ransomware REvil. O incidente resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

Por Carlos Cabral

Carlos Cabral

O REvil, também chamado de Sodinokibi, é uma das gangues mais prolíficas da atualidade, operando com dezenas de indivíduos em um regime bastante profissional de divisão de tarefas no qual uma parte da quadrilha conduz a invasão dos ambientes e outra é responsável por dar constante manutenção ao seu ransomware e fazer a gestão financeira da quadrilha, negociando o resgate com as vítimas.  

O modus operandi do grupo se baseia na condução de ataques de double extortion: incidentes em que os atacantes tomam o controle da rede da vítima, extraem dados sensíveis, ativam o ransomware que criptografa os dados da maior quantidade de ativos possível (inclusive backups) e pedem um resgate para que a vítima volte a ter acesso aos dados e evite que a quadrilha vaze o material que obteve. 

No recente episódio envolvendo a Kaseya, a crucial parcela das vítimas é formada por prestadores de serviços de tecnologia cuja implementação do VSA é parte do serviço de gestão remota que vendem.

Os atacantes exploraram uma série de zero-days no produto que permitiam burlar sua autenticação, fazer o upload arbitrário de arquivos maliciosos e injetar código no software. A partir daí, puderam usar de uma série de outras táticas e ferramentas para se movimentar na rede, mas como foi observado pela Sophos, o próprio agente do VSA presente nos endpoints, pode ter sido abusado para tomar o controle das outras redes e ativar o ransomware, pois ele possui privilégios de acesso elevados nas máquinas, tendo sua atividade classificada como legítima por ferramentas de segurança, como antivírus.

A forma pela qual os criminosos tiveram acesso aos detalhes das vulnerabilidades ainda é indeterminada, no entanto as fragilidades haviam sido anteriormente identificadas por pesquisadores do Instituto Holandês de Divulgação de Vulnerabilidades que as reportaram à Kaseya.

Embora a interceptação da comunicação dos pesquisadores com a Kaseya seja uma possibilidade que não deve ser desprezada, casos em que mais de uma pessoa encontra a mesma vulnerabilidade não são incomuns, sobretudo em momentos nos quais um incidente de grandes proporções chama a atenção para um tipo específico de tecnologia.

As atenções, tanto de pesquisadores de segurança, quanto de cibercriminosos de todos os tipos estão voltadas para os sistemas de gestão de rede e de servidores desde o incidente contra a Solarwinds, ocorrido no final do ano passado e que afetou empresas e governos em todo o mundo.  Desta forma, ainda é possível que voltemos a falar sobre novas falhas em ferramentas desse tipo em um futuro próximo.

Últimas palavras: No momento em que escrevo essa coluna, os sites ligados ao ransomware REvil estão fora do ar. Ainda não está claro se os criminosos desligaram tudo para temporariamente saírem do radar ou se a situação é resultado de operação policial. 

Carlos Cabral

Carlos CabralPesquisador de Segurança na Tempest.

Escreve sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da cibersegurança. É um dos organizadores do livro “Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados” e autor de diversos artigos e palestras sobre o tema.

Acumula mais de quinze anos de experiência na área de segurança da informação, atuando em empresas de serviços, telecomunicações, consultorias e no mercado financeiro. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia e Política pela Fundação Escola de Sociologia e Política de São Paulo.

É responsável pelo roteiro e apresentação do programa 0 News no canal Mente Binária no YouTube.

Acompanhe a Coluna de Carlos Cabral aqui no Crypto ID!

CarlosCabral@tutanota.com |@kbralx

Up to 1,500 businesses infected in one of the worst ransomware attacks ever

O Crypto ID publica os melhores artigos e notícias sobre Cibersegurança. Confira aqui