O ciberataque à cadeia de valor

Sexta-feira, 2 de julho. Os cidadãos norte-americanos preparam-se para, dali a dois dias, festejarem o 4 de julho, feriado nacional que celebra o dia da independência dos Estados Unidos que diz respeito ao século XVIII e à revolução americana.

Na cibersegurança, no entanto, essa mesma sexta- feira fifica marcada pelo ataque à Kaseya, um nome que, até então, não seria muito conhecido dos portugueses – até porque a implementação dos seus produtos não é muito grande em território nacional.

Centenas de empresas norte-americanas foram atingidas, nessa mesma sexta-feira, por um ataque de ransomware excecionalmente sofifisticado que utilizou uma versão manipulada do softftware de gestão de redes e endpoints Kaseya VSA.

Utilizado pelos MSP

Grande parte dos clientes da Kaseya são empresas de serviços geridos (MSP) que utilizam o softftware da Kaseya para gerir os terminais, os ativos de rede e os servidores dos seus clientes.

Ainda que a implementação do softftware seja bem mais reduzida fora dos Estados Unidos do que dentro do território norte-americano, esta ataque afetou empresas um pouco por todo o mundo e dos mais variados setores. Na Europa, mais concretamente na Suécia, uma rede de supermercados teve de encerrar 500 lojas na manhã do dia 3 de julho.

Este foi, sem dúvida, um ataque colossal e devastador à cadeia de fornecimento. Na altura, por exemplo, apenas oito IT service providers tinham sido utilizados para infetar um total de 200 clientes.

A abordagem utilizada foi similar ao conceito utilizado no ataque à Solarwinds, com a diferença de que o ciberataque à Kaseya teve um efeito mais imediato de ransomware mais tradicional e do consequente pedido de resgate.

Resgate de 70 milhões

Na origem do ataque está o grupo REvil, responsável por uma série de ataques de ransomware nos últimos meses a várias grandes empresas – nomeadamente à JBS. Os atacantes alegam ter infetado mais de um milhão de dispositivos. Como habitual num ataque de ransomware, foi pedido um resgate: 70 milhões de dólares em bitcoin para desencriptar e restaurar os dados afetados.

Fred Voccola, presidente da Kaseya, estimou que o ataque tenha afetado entre 800 e 1.500 empresas. Dias depois do ataque, o DIVD – Instituto Holandês para Divulgação de Vulnerabilidades – revelou que o exploit utilizado pelos cibercriminosos foi, muito provavelmente, o mesmo que o instituto tinha descoberto em abril. Na altura, o DIVD explicou que estava a realizar uma ampla investigação sobre ferramentas de backup, administração de sistema e as suas vulnerabilidades, onde um dos produtos investigados era o Kaseya VSA.

Chave de Desencriptação

Mais perto do fifinal do mês de julho, a própria Kaseya anunciou que teve acesso a uma chave universal para desencriptar os dados das empresas afetadas. Numa publicação no seu blog na altura, a Kaseya confifirmou que “obteve a ferramenta de terceiros e temos equipas a ajudar ativamente os clientes afetados pelo ransomware a restaurar os seus ambientes, sem relatos de qualquer problema ou questões associadas com o desencriptador”.

Uma das especulações foi que a Kaseya tinha pagado uma parte do resgate para ter acesso à chave de desencriptação e, assim, parar o ataque. Num comunicado, a Kaseya explicou que, depois de ter falado com consultores, “decidiu não negociar com os cibercriminosos que perpetraram este ataque e não hesitamos nesse compromisso. Como tal, estamos a confifirmar de forma inequívoca que a Kaseya não pagou um resgate - seja direta ou através de terceiros - para obter o desencriptador”.

A Kaseya confifirmou, também, que “a ferramenta de desencriptação provou ser 100% efificaz na desencriptação dos fificheiros que foram totalmente encriptados no ataque” e a empresa mostrou-se disponível para fornecer a chave a todos os clientes que a solicitarem.