Cibercrime: ataque à Kaseya começou nos EUA e atingiu 6 países europeus

Explorar vulnerabilidades de segurança de uma empresa de TI permitiu que cibercriminosos entrassem nos seus sistemas. Mas, quando um ataque de tipo ransomware se estende a dezenas de clientes fornecedores de serviços e, através destes MSP (Managed Service Providers), acaba por afetar a milhares de outras empresas que dependem da gestão externa de servidores, redes e impressoras, a sequência de hacks assumiu extensão “colossal” e o evento tornou-se um pesadelo.

A unidade europeia da Kaseya já assumiu que o incidente afetou empresas em seis países europeus. De facto, a Kaseya – sobre quem se sabia, desde abril, que mantinha algumas vulnerabilidades e precisava acelerar atualizações de segurança para as colmatar – apresentava-se como um alvo particularmente apetecível para os criminosos do ciberespaço, admitiu o responsável da companhia para a região EMEA.

O caso da Kaseya é um exemplo da escalada global na ameaça ransomware e levanta novas questões que requerem resposta urgente de empresas e governos, assinala a imprensa especializada. Segundo informou Ronan Kirby, citado pelo The Wall Street Journal (WSJ), a disseminação do ataque já atingiu seis clientes de países europeus, nomeadamente na Alemanha, Suécia, Noruega, Países Baixos, Reino Unido e Itália.

A Kaseya Ltd, sediada nos EUA e fornecedora de software e serviços de TI, assumiu há cerca de uma semana (2 de julho) que foi vítima de potencial ataque que explorou vulnerabilidades de um dos seus produtos, o VSA (Virtual System Administrator), um incidente que logo atingiu 40 a 60 MSP, como são designados clientes que, por sua vez, fazem a rotina remota da gestão e manutenção de segurança a redes informáticas de milhares de outros clientes. Em consequência do ataque, a Kaseya admitiu logo que, entre 800 a 1500 empresas (clientes indiretos), muitas das quais pequenas e médias empresas locais, estariam em risco de ficar sem acesso às suas redes (servidores) ou com os respetivos sistemas (dados) comprometidos.

Uma semana depois, o número de empresas afetadas ascende a, pelo menos, 36 mil, universo que inclui negócios atingidos de forma indireta e que ainda não sabem quando voltarão a estar online. Um dos casos reportados durante a semana, segundo a edição online do jornal The New York Times, é a Coop, companhia líder de retalho alimentar na Suécia, que – por causa do ciberataque à Kaseya – foi obrigada a encerrar 800 estabelecimentos por não conseguir sequer operar as linhas de caixas das suas lojas. Além da escandinava Coop, uma empresa de transporte ferroviário e uma rede de farmácias estão entre as principais vítimas diretas do ataque, detalha o site especializado CNET.

A Kaseya, que abordou o incidente desde o primeiro momento (o ataque aconteceu em véspera do feriado nacional dos EUA de 4 de julho), obteve ajuda do FBI e da CISA (US Cybersecurity and Infrastructure Agency) para investigar o incidente, mobilizando toda a equipa de suporte e avisando clientela e utilizadores para desligarem tudo e disponibilizou ferramentas para ajudar os utilizadores do VSA a detetarem servidores infetados e prometeu que, em 24 a 48 horas, estaria em condições de repor serviço, para depois assegurar versões atualizadas do software, mas nem tudo aconteceu como esperado (veja aqui a cronologia de comunicação da Kaseya sobre o desastre cibernético).

Face a dificuldades técnicas que foi encontrando dia após dia – e que até justificaram, por parte do CEO Fred Voccola, num vídeo em que transparece claro estado de exaustão, a oferta de apoio financeiro às pequenas empresas que foram vítimas indiretas do ataque -, a tecnológica norte-americana só conseguiu reiniciar os servidores uma semana depois.

Os criminosos do REvil, grupo de hackers cuja origem os especialistas associam à Rússia, é a entidade a quem é atribuída a autoria do ataque informático. A imprensa especializada refere também que os cibercriminosos que lançaram o ransomware já pediram resgate de 70 milhões de dólares a quem quiser pagar para aceder à chave (descodificador) que permitiria recuperar os dados roubados (encriptados). A comunicação dos piratas faz-se normalmente pela deepweb, o lado negro da internet (inacessível aos browsers mais comuns).

Entretanto, de acordo com nota divulgada no canal aberto pela Kaseya para updates ao incidente de crise, a empresa adiantou que os pacotes contendo atualizações para corrigir as vulnerabilidades (ou remediar as falhas) de segurança no VSA começariam a ser distribuídos domingo (11 de julho).

Escalada nos montantes de extorsão

Um relatório da Coveware, especialista em resposta a incidentes de tipo ransomware (ataques com intenção de cobrar resgate), indica que, além da extorsão e em troca da descodificação (chave para recuperar dados), esta ameaça às vulnerabilidades cibernéticas mostra nova apetência para o roubo de informação empresarial.

O relatório compila dados (de valores reclamados por autores dos ataques) no primeiro trimestre de 2021, em média, o prémio de resgate cresceu 43% face ao último trimestre de 2020, para uma média (aritmética) de 220,3 mil dólares, enquanto o valor pago (em mediana) rondou 78,4 mil dólares, mais 58% face aos últimos três meses do ano passado.

No mesmo estudo, a Coveware detalha famílias de ransomware mais utilizadas neste tipo de ameaça e a forma como afetam funcionalidades informáticas (redes e PC), consoante dimensão das empresas e organizações escolhidas como alvo, e lista também principais variantes de ransomware utilizadas e setores económicos mais atacados, bem como duração dos incidentes.