Últimas notícias

Fique informado
Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

14 de julho de 2021

Spotlight

FEBRABAN TECH traz renomados keynotes internacionais e nacionais para a edição 2022

Ban Ki-moon, Paul Krugman, Makaziwe Mandela, Ilan Goldfajn, Roberto Campos Neto e o ex-jogador Cafu estão entre os destaques do tradicional evento de tecnologia, que ocorre de 9 a 11 de agosto, na Bienal de São Paulo

3 de agosto de 2022

Primeiros cidadãos do país têm acesso ao RG digital no Acre

Documento de identificação dos brasileiros já está disponível digitalmente no aplicativo GOV.BR

3 de agosto de 2022

IDENTITY WEEK 2022 – O mais importante evento de Identidade e Autenticação nos USA

Identity Week: Como autenticar ou identificar cidadãos, consumidores e funcionários, em domínios físico, digital e móvel?

28 de julho de 2022

CISO Forum Brazil 2022 acontece 100% on line com o apoio do CRYPTO ID

CISO Forum Brazil 2022, a ser realizado nos dias 18, 19 e 20 de outubro de 2022 de forma 100% online.

25 de julho de 2022

Diversidade, metaverso, blockchain e formato de trabalho presencial são as principais tendências do Vale do Silício

Empresas e negócios devem absorver essas tendências que hoje estão no centro das discussões sobre inovações no mundo

14 de julho de 2022

NIST anuncia os primeiros quatro algoritmos criptográficos resistentes ao computador quântico

Os 4 algoritmos de criptografia selecionados farão parte do padrão criptográfico pós-quântico do NIST.

6 de julho de 2022

Up to 1,500 businesses infected in one of the worst ransomware attacks ever

Hackers affiliated with REvil, one of ransomware’s most cutthroat gangs, exploited a zero-day vulnerability in the Kaseya VSA remote management service.

9 de julho de 2021

No último final de semana, a Kaseya publicou uma esperada atualização para o VSA, um popular produto usado na administração remota de computadores que se tornou o pivô de um ataque de grandes proporções causado pelos operadores do ransomware REvil. O incidente resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

Por Carlos Cabral

Carlos Cabral

O REvil, também chamado de Sodinokibi, é uma das gangues mais prolíficas da atualidade, operando com dezenas de indivíduos em um regime bastante profissional de divisão de tarefas no qual uma parte da quadrilha conduz a invasão dos ambientes e outra é responsável por dar constante manutenção ao seu ransomware e fazer a gestão financeira da quadrilha, negociando o resgate com as vítimas.  

O modus operandi do grupo se baseia na condução de ataques de double extortion: incidentes em que os atacantes tomam o controle da rede da vítima, extraem dados sensíveis, ativam o ransomware que criptografa os dados da maior quantidade de ativos possível (inclusive backups) e pedem um resgate para que a vítima volte a ter acesso aos dados e evite que a quadrilha vaze o material que obteve. 

No recente episódio envolvendo a Kaseya, a crucial parcela das vítimas é formada por prestadores de serviços de tecnologia cuja implementação do VSA é parte do serviço de gestão remota que vendem.

Os atacantes exploraram uma série de zero-days no produto que permitiam burlar sua autenticação, fazer o upload arbitrário de arquivos maliciosos e injetar código no software. A partir daí, puderam usar de uma série de outras táticas e ferramentas para se movimentar na rede, mas como foi observado pela Sophos, o próprio agente do VSA presente nos endpoints, pode ter sido abusado para tomar o controle das outras redes e ativar o ransomware, pois ele possui privilégios de acesso elevados nas máquinas, tendo sua atividade classificada como legítima por ferramentas de segurança, como antivírus.

A forma pela qual os criminosos tiveram acesso aos detalhes das vulnerabilidades ainda é indeterminada, no entanto as fragilidades haviam sido anteriormente identificadas por pesquisadores do Instituto Holandês de Divulgação de Vulnerabilidades que as reportaram à Kaseya.

Embora a interceptação da comunicação dos pesquisadores com a Kaseya seja uma possibilidade que não deve ser desprezada, casos em que mais de uma pessoa encontra a mesma vulnerabilidade não são incomuns, sobretudo em momentos nos quais um incidente de grandes proporções chama a atenção para um tipo específico de tecnologia.

As atenções, tanto de pesquisadores de segurança, quanto de cibercriminosos de todos os tipos estão voltadas para os sistemas de gestão de rede e de servidores desde o incidente contra a Solarwinds, ocorrido no final do ano passado e que afetou empresas e governos em todo o mundo.  Desta forma, ainda é possível que voltemos a falar sobre novas falhas em ferramentas desse tipo em um futuro próximo.

Últimas palavras: No momento em que escrevo essa coluna, os sites ligados ao ransomware REvil estão fora do ar. Ainda não está claro se os criminosos desligaram tudo para temporariamente saírem do radar ou se a situação é resultado de operação policial. 

Carlos Cabral

Carlos CabralPesquisador de Segurança na Tempest.

Escreve sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da cibersegurança. É um dos organizadores do livro “Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados” e autor de diversos artigos e palestras sobre o tema.

Acumula mais de quinze anos de experiência na área de segurança da informação, atuando em empresas de serviços, telecomunicações, consultorias e no mercado financeiro. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia e Política pela Fundação Escola de Sociologia e Política de São Paulo.

É responsável pelo roteiro e apresentação do programa 0 News no canal Mente Binária no YouTube.

Acompanhe a Coluna de Carlos Cabral aqui no Crypto ID!

CarlosCabral@tutanota.com |@kbralx

Up to 1,500 businesses infected in one of the worst ransomware attacks ever