Cibercrime: ataque à Kaseya começou nos EUA e atingiu 6 países europeus
Incidente que visou uma tecnológica norte-americana atingiu clientes revendedores do software VSA e, através destes, mais de 30 mil empresas sofreram danos ou foram afetadas indiretamente.
Explorar vulnerabilidades de segurança de uma empresa de TI permitiu que cibercriminosos entrassem nos seus sistemas. Mas, quando um ataque de tipo ransomware se estende a dezenas de clientes fornecedores de serviços e, através destes MSP (Managed Service Providers), acaba por afetar a milhares de outras empresas que dependem da gestão externa de servidores, redes e impressoras, a sequência de hacks assumiu extensão “colossal” e o evento tornou-se um pesadelo.
A unidade europeia da Kaseya já assumiu que o incidente afetou empresas em seis países europeus. De facto, a Kaseya – sobre quem se sabia, desde abril, que mantinha algumas vulnerabilidades e precisava acelerar atualizações de segurança para as colmatar – apresentava-se como um alvo particularmente apetecível para os criminosos do ciberespaço, admitiu o responsável da companhia para a região EMEA.
O caso da Kaseya é um exemplo da escalada global na ameaça ransomware e levanta novas questões que requerem resposta urgente de empresas e governos, assinala a imprensa especializada. Segundo informou Ronan Kirby, citado pelo The Wall Street Journal (WSJ), a disseminação do ataque já atingiu seis clientes de países europeus, nomeadamente na Alemanha, Suécia, Noruega, Países Baixos, Reino Unido e Itália.
A Kaseya Ltd, sediada nos EUA e fornecedora de software e serviços de TI, assumiu há cerca de uma semana (2 de julho) que foi vítima de potencial ataque que explorou vulnerabilidades de um dos seus produtos, o VSA (Virtual System Administrator), um incidente que logo atingiu 40 a 60 MSP, como são designados clientes que, por sua vez, fazem a rotina remota da gestão e manutenção de segurança a redes informáticas de milhares de outros clientes. Em consequência do ataque, a Kaseya admitiu logo que, entre 800 a 1500 empresas (clientes indiretos), muitas das quais pequenas e médias empresas locais, estariam em risco de ficar sem acesso às suas redes (servidores) ou com os respetivos sistemas (dados) comprometidos.
Uma semana depois, o número de empresas afetadas ascende a, pelo menos, 36 mil, universo que inclui negócios atingidos de forma indireta e que ainda não sabem quando voltarão a estar online. Um dos casos reportados durante a semana, segundo a edição online do jornal The New York Times, é a Coop, companhia líder de retalho alimentar na Suécia, que – por causa do ciberataque à Kaseya – foi obrigada a encerrar 800 estabelecimentos por não conseguir sequer operar as linhas de caixas das suas lojas. Além da escandinava Coop, uma empresa de transporte ferroviário e uma rede de farmácias estão entre as principais vítimas diretas do ataque, detalha o site especializado CNET.
A Kaseya, que abordou o incidente desde o primeiro momento (o ataque aconteceu em véspera do feriado nacional dos EUA de 4 de julho), obteve ajuda do FBI e da CISA (US Cybersecurity and Infrastructure Agency) para investigar o incidente, mobilizando toda a equipa de suporte e avisando clientela e utilizadores para desligarem tudo e disponibilizou ferramentas para ajudar os utilizadores do VSA a detetarem servidores infetados e prometeu que, em 24 a 48 horas, estaria em condições de repor serviço, para depois assegurar versões atualizadas do software, mas nem tudo aconteceu como esperado (veja aqui a cronologia de comunicação da Kaseya sobre o desastre cibernético).
Face a dificuldades técnicas que foi encontrando dia após dia – e que até justificaram, por parte do CEO Fred Voccola, num vídeo em que transparece claro estado de exaustão, a oferta de apoio financeiro às pequenas empresas que foram vítimas indiretas do ataque -, a tecnológica norte-americana só conseguiu reiniciar os servidores uma semana depois.
Os criminosos do REvil, grupo de hackers cuja origem os especialistas associam à Rússia, é a entidade a quem é atribuída a autoria do ataque informático. A imprensa especializada refere também que os cibercriminosos que lançaram o ransomware já pediram resgate de 70 milhões de dólares a quem quiser pagar para aceder à chave (descodificador) que permitiria recuperar os dados roubados (encriptados). A comunicação dos piratas faz-se normalmente pela deepweb, o lado negro da internet (inacessível aos browsers mais comuns).
Entretanto, de acordo com nota divulgada no canal aberto pela Kaseya para updates ao incidente de crise, a empresa adiantou que os pacotes contendo atualizações para corrigir as vulnerabilidades (ou remediar as falhas) de segurança no VSA começariam a ser distribuídos domingo (11 de julho).
Escalada nos montantes de extorsão
Um relatório da Coveware, especialista em resposta a incidentes de tipo ransomware (ataques com intenção de cobrar resgate), indica que, além da extorsão e em troca da descodificação (chave para recuperar dados), esta ameaça às vulnerabilidades cibernéticas mostra nova apetência para o roubo de informação empresarial.
O relatório compila dados (de valores reclamados por autores dos ataques) no primeiro trimestre de 2021, em média, o prémio de resgate cresceu 43% face ao último trimestre de 2020, para uma média (aritmética) de 220,3 mil dólares, enquanto o valor pago (em mediana) rondou 78,4 mil dólares, mais 58% face aos últimos três meses do ano passado.
No mesmo estudo, a Coveware detalha famílias de ransomware mais utilizadas neste tipo de ameaça e a forma como afetam funcionalidades informáticas (redes e PC), consoante dimensão das empresas e organizações escolhidas como alvo, e lista também principais variantes de ransomware utilizadas e setores económicos mais atacados, bem como duração dos incidentes.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Cibercrime: ataque à Kaseya começou nos EUA e atingiu 6 países europeus
{{ noCommentsLabel }}