Em 2 de julho de 2021, a Kaseya, uma empresa de software de gerenciamento de TI, divulgou um incidente de segurança impactando sua versão local do software VSA (Virtual System Administrator, administrador de sistemas virtuais) da Kaseya. Kaseya VSA é uma plataforma MSP (Managed Service Provider) baseada em nuvem que permite aos provedores de serviços gerenciar, fazer backups e monitorar seus clientes.
Segundo Kaseya, o ataque não impactou a maioria dos clientes que dependem do Software como Serviço (SaaS), mas apenas uma pequena porcentagem (cerca de 50 em todo o mundo) executando instâncias on-premise do servidor Kaseya VSA foram afetadas, no entanto, o ataque se estendeu para mais de 1.000 Empresas.
Com base nas informações mais recentes, a REvil explorou uma vulnerabilidade de zero-day no servidor Kaseya VSA que comprometeu versões on-prem do VSA Server e, em seguida, distribuiu REvil ransomware para sistemas de pertencentes a várias organizações através de uma movimentação lateral.
Os hackers por trás deste ataque usaram um servidor Kaseya VSA comprometido para enviar um script malicioso para todos os clientes gerenciados por esse servidor VSA. O script desativa alguns recursos do Windows Defender e, em seguida, instala ransomware.
Figura 1: Kaseya ransomware ataque.
Esta variante de ransomware REvil (também conhecida como Sodinokibi) usa várias técnicas para escapar de produtos de segurança e a carga REvil é distribuída como um executável portátil (PE) com um cabeçalho modificado.
Uma das principais lições dos ataques a SolarWinds Orion e Kaseya VSA é que é vital que as organizações restrinjam o acesso externo e a ativos críticos de gerenciamento de TI. Mesmo com ferramentas e parceiros confiáveis, as organizações devem construir controles de identidade e Zero Trust que conectam os usuários diretamente a aplicativos e nunca redes. Com Zero Trust, você pode eliminar a superfície de ataque tornando os recursos corporativos críticos invisíveis aos adversários e impossíveis de atacar.
É importante mencionar que os detalhes deste incidente ainda estão surgindo e daremos mais detalhes à medida que estiverem disponíveis.
Comments