Kaseya VSA comprometido em ataque massivo de ransomware

Centenas de empresas norte-americanas foram atingidas nesta sexta-feira, dia 2 de julho, por um ataque de ransomware excecionalmente sofisticado que utilizou uma versão manipulada do software de gestão de redes e endpoints Kaseya VSA.

A empresa Kaseya, com base em Miami, tem 40 mil clientes, muitos deles empresas de managed services que o utilizam para gerir os terminais, ativos de rede e servidores dos seus clientes.

A implementaçãodo Kaseya VSA na Europa é mais reduzida que nos EUA, mas já foi anunciado, pelo menos, um grande ataque na Suécia, à rede de supermercados Coop, que obrigou ao encerramento de 500 lojas na manhã sábado, dia 3 de julho.

Em declarações à BBC, uma porta-voz da Coop Sweden referiu que "observámos problemas pela primeira vez num pequeno número de lojas na sexta-feira à noite por volta das 18h30, e fechámos essas lojas mais cedo. Da noite para o dia, percebemos que era muito maior e tomámos a decisão de não abrir a maioria de nossas lojas esta manhã para que nossas equipas pudessem descobrir como corrigi-lo".

De acordo com a agência Reuters, John Hammond, especialista da empresa de segurança Huntress, disse que estava a monitorizar oito IT service providers que tinham sido usados para infetar cerca de 200 clientes e afirmou que "este é um ataque colossal e devastador na cadeia de fornecimento", para além de se referir a uma técnica de hacking cada vez mais de alto perfil de sequestrar um software para comprometer centenas ou milhares de utilizadores de cada vez.

Esta técnica de utilizar software de gestão de redes e os seus ativos como forma de atacar os clientes finais destas software house é similar no conceito ao que assistimos com o Solarwinds, mas desta vez para um efeito mais imediato de ransomware comercial.

As autoridades federais norte-americana estão a seguir o incidente que classificam de muito grave, tanto o FBI como a CISA - Cibersecurity & Infraestruture Security Agency.

De momento, a agência apenas fez uma declaração para apelar aos utilizadores a desligarem os serviços do Kaseya e garantir que está a decorrer uma investigação e mitigação do ataque.

Já existem alguns especialistas que afirmam que existem indícios que o REvil, um grupo russo especializado em ransomware - e, de acordo com o FBI, alegado autor do ataque no mês passado ao JBS -  serem os autores deste ataque ao VSA da Kesaya.

De acordo com um analista de cibersegurança que está ligado à resposta a este ciberataque, o resgate varia muito com a dimensão da empresa atacada, podendo ir de apenas milhares de dólares a cinco milhões no caso identificado até agora como o de maior impacto.

A Kaseya publicou ao inicio da tarde de sábado (hora de Portugal) um apelo aos seus clientes para desligarem os serviços dos VSA instalados em servidores on-premises até um patch de correção, enquanto afirmou que na modalidade SaaS  os serviços estão interrompidos até estarem restabelecidas as condições de segurança.

Update Regarding VSA Security Incident | Kaseya