Ataque de ransomware afeta milhares de empresas na véspera do fim de semana prolongado

Os hackers atacaram um grande provedor de software de TI, o que permitiu que se espalhasse em muitas pequenas empresas que agora enfrentam pedidos de resgate para desbloquear suas redes de computadores.


De Gerrit De Vynck e Rachel Lerman, do Washington Post, e contribuição de Ellen Nakashima

Um vasto ataque de ransomware que ocorreu horas antes do início do feriado de 4 de julho já afetou centenas de empresas e provavelmente atingirá muitas mais, disseram os pesquisadores.

Na manhã de sábado, a empresa de tecnologia da informação Kaseya confirmou que havia sofrido um “ataque cibernético sofisticado” em seu software VSA — um conjunto de ferramentas usadas por departamentos de TI para gerenciar e monitorar computadores remotamente. A empresa disse que apenas cerca de 40 clientes foram afetados.

Mas, como o software da Kaseya é usado por grandes empresas de TI que oferecem serviços de contrato para centenas de empresas menores, o hack pode ter se espalhado para milhares de vítimas. A Kaseya disse a todos os seus quase 40.000 clientes para desconectar o software Kaseya imediatamente.

A empresa de segurança cibernética Huntress Labs disse que rastreou 20 empresas de TI, conhecidas como provedores de serviços gerenciados, que foram atingidas. Mais de 1.000 clientes dessas empresas, a maioria pequenas empresas, também foram afetados pelo hack, disse Huntress Labs no Reddit.

“Eu não ficaria surpreso se fossem milhares de empresas”, disse Fabian Wosar, diretor de tecnologia da Emsisoft, uma empresa que fornece software e consultoria para ajudar as organizações a se defenderem contra ataques de ransomware. “Ainda não sabemos por causa do longo fim de semana nos EUA”

Uma grande rede de supermercados da Suécia disse no sábado que seu provedor de TI foi atingido por um ataque e que suas caixas registradoras estavam trancadas. Centenas de lojas foram fechadas, disse a empresa Coop Sweden em sua página no Facebook.

Devido ao grande número de empresas potencialmente afetadas, o ataque pode vir a ser um dos maiores da história. Os pesquisadores disseram que o REvil, o grupo de hackers que atacou o processador de carnes JBS nesta primavera, estava por trás do ataque.

O ataque pode aumentar as tensões entre os Estados Unidos e a Rússia, já que ocorre poucas semanas depois que o presidente Biden se reuniu com o presidente russo, Vladimir Putin, em Genebra, alertando-o de que os Estados Unidos responsabilizariam Moscou por ataques cibernéticos originados na Rússia.

Muitos analistas de ameaças de segurança cibernética acham que REvil opera principalmente na Rússia. A onda recente ressalta o desafio que o governo Biden enfrenta para impedir ataques de ransomware conduzidos por criminosos em um porto seguro em países como a Rússia.

Em vez de um ataque cuidadoso e direcionado a uma única grande empresa, esse hack parece ter usado provedores de serviços gerenciados para espalhar seus danos indiscriminadamente por meio de uma enorme rede de empresas menores. Ao contrário da maioria dos ataques de ransomware, não parece que o REvil tentou roubar dados confidenciais antes de bloquear as vítimas em seus sistemas, disse Wosar.

“Nesse ponto, pelo menos parece que foi mais um ataque de spray e reza. Eles não tentaram extorquir dados de todas as vítimas”, disse ele. “Foi mais como um bombardeio em massa”.

“Acreditamos ter identificado a fonte da vulnerabilidade e estamos preparando um patch para mitigá-la”, escreveu Fred Voccola, CEO da Kaseya, em um comunicado na sexta-feira à noite.

Os pesquisadores disseram que os cibercriminosos estavam enviando duas notas de resgate diferentes na sexta-feira — exigindo US$ 50.000 de empresas menores e US$ 5 milhões das maiores.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA instou as empresas em um comunicado a seguir o conselho da Kaseya e disse que está “tomando medidas para entender e resolver o recente ataque de ransomware à cadeia de suprimentos”.

“É, com certeza absoluta, o maior ataque cibernético à cadeia de suprimentos de um estado não-nação que já vimos”, disse Allan Liska, pesquisador da empresa de segurança cibernética Recorded Future. “E é provavelmente o maior ataque de ransomware que vimos, pelo menos o maior desde WannaCry.”

Liska observou que poderia ser o maior número de empresas atingidas em um ataque de ransomware. As empresas afetadas podem incluir uma ampla gama de empresas de pequeno a grande porte, e muitas provavelmente são empresas de pequeno a médio porte que usam serviços de TI gerenciados. A Kaseya também conta com vários governos estaduais e locais como clientes.

O worm de computador WannaCry afetou centenas de milhares de pessoas em 2017. A Agência de Segurança Nacional acabou vinculando o governo norte-coreano à criação do worm.

Ataques de ransomware aumentaram significativamente em frequência e gravidade durante 2020. Um relatório de uma força-tarefa de mais de 60 especialistas disse que quase 2.400 governos, sistemas de saúde e escolas do país foram atingidos por ransomware em 2020. Organizações pagaram aos invasores mais de US$ 412 milhões em resgates no ano passado, de acordo com a empresa de análise Chainalysis.

Depois de um ataque em maio ao Oleoduto Colonial — que levou ao pânico nas linhas de bombas de gasolina vazias de combustível — o governo dos EUA aumentou sua ênfase em questões de segurança cibernética e instou a América corporativa a fortalecer a segurança de seus computadores.

Os ataques de ransomware têm aumentado à medida que os hackers se unem e formam gangues de cibercriminosos para extorquir dinheiro de empresas e obter outras formas de pagamento. Os ataques costumam ser realizados por invasores na Rússia e no Leste Europeu.

Os hackers obtêm acesso ao sistema de computador de uma empresa usando táticas como o envio de e-mails de “phishing”, que são projetados para enganar os funcionários para que instalem malware inadvertidamente em seus computadores.

Uma vez dentro, os cibercriminosos bloquearão partes das redes de uma empresa e exigirão pagamento para devolvê-las ao proprietário. Além disso, os hackers frequentemente roubam informações privadas da empresa e ameaçam vazá-las online se não forem pagos.

Ainda não está claro como os invasores obtiveram acesso ao sistema da Kaseya. A empresa tem sido um alvo popular da REvil, disse Liska, provavelmente porque atende a tantas outras organizações como clientes.

Os agressores incluíram uma nota de resgate direcionando as vítimas a um site para fazer o pagamento, embora Liska tenha dito que o site esteve fora do ar durante toda a tarde e noite de sexta-feira.

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton