A empresa classificou este ataque como “sofisticado” pois, apesar de ter afetado apenas “um número de clientes muito pequeno” acabou por ser um fenómeno do género de bola de neve.
Os “poucos” clientes atacados diretamente acabaram por abrir portas a muitos mais clientes levanto a um total de mais de mil empresas afetadas pelo ransomware utilizado para iniciar o ataque à Kaseya.
Kaseya tinha estimado menos de 40 clientes infetados
Para quem não conhece a Kaseya, é uma empresa com, segundo afirma, mais de 40 mil clientes. Com sede em Miami, vende programas informáticos a pequenas e médias empresas, entre o quais o VSA que é destinado a gerir as respetivas redes de servidores, computadores e impressoras, tudo a partir de uma única fonte.
Foi na sexta-feira passada, dia 2 de julho, que a empresa reparou em algo estranho no seu software VSA, mas não soaram logo os alarmes. Ao início eram estimados “menos de 40 clientes em todo o mundo” afetados pelo ataque informático em questão.
Claro que, de um ponto de vista, esta estimativa não estava errada e tendo por base a forma como, habitualmente, os ataques de ransomware funcionam, não seria problemáticos. A questão neste caso concreto é que se trata de um ataque a uma empresa que fornece um programa de gestão a milhares de outras empresas.
Sendo o ransomware um tipo de ataque que se baseia em manter o sistema refém até que seja feito o pagamento de quantias elevadas e tendo os hackers conseguido aceder ao VSA, o que começou com 40 clientes infetados rapidamente se espalhou por todo o mundo e o ataque acabou por afetar simultaneamente um elevado número de clientes.
A empresa de segurança cibernética, Eset, estima que o ataque informático chegou pelo menos a 17 países em diversas zonas do planeta. Ao que tudo indica, o ataque está a ser reivindicado pelo grupo de hacker REvil / Sodinokibi que afirmou ter comprometido um milhão de computadores.
Gérôme Billois, especialista em cibersegurança da consultoria Wavestone, explicou que “neste caso, eles atacaram uma empresa que fornece um ‘software’ de gestão dos sistemas informáticos, o que lhes permitiu atingir simultaneamente várias outras dezenas ou mesmo centenas de empresas”.
Billois acrescentou ainda que “é complicado de determinar quantas exatamente, porque, neste tipo de situação, as empresas afetadas perdem os seus meios de comunicação”.
A Kaseya solicitou que os clientes desligassem todos os sistemas o mais rápido possível, mas torna-se impossível de ter a certeza de quantos foram desligados voluntariamente e quantos foram forçados devido ao ataque.
Devido ao ataque, uma das principais cadeias de supermercados da Suécia foi obrigada a encerrar temporariamente quase todas as suas 800 lojas umas vez que as caixas registadoras foram afetadas e encontram-se bloqueadas a aguardar o pagamento do resgate.
Ross McKerchar, Vice-Presidente e Chief Information Security Officer da Sophos, falou sobre este caso, em comunicado, dizendo que “Este é um dos ataques criminosos de ransomware de maior alcance que a Sophos já viu.”
Segundo os números da Sophos, como indicados por McKerchar, “neste momento, os elementos de que dispomos indicam que mais de 70 fornecedores de serviços geridos (MSP) foram afetados, resultando em mais de 350 outras organizações impactadas. Esperamos o alcance total de vítimas seja mais elevado do que o que está a sendo reportado por qualquer empresa de segurança individual.”
Mark Loman, Director of Engineering da Sophos esclareceu a associação feita ao grupo REvil:
“Logo no dia seguinte ao ataque, ficou mais evidente que uma organização afiliada com o REvil Ransomware-as-a-Service (RaaS) tirou partido de um exploit de dia zero, que permitiu distribuir o ransomware através do software Virtual Systems Administrator (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação altamente fiável que permite aos MSP acesso privilegiado ilimitado para ajudar muitas empresas nos seus ambientes de TI.”
A Agência Note-Americana de Cibersegurança e Segurança das Infraestruturas (CISA) está a par de toda a siatuação e está a acompanhar o desenvolvimento do caso junto da Kaseya.
Participe no passatempo:
