Centenas de empresas são atingidas em ciberataque à Kaseya

Centenas de companhias que utilizam o software de gestão da companhia norte-americana Kaseya foram alvo de um ataque cibernético movido por potenciais hackers russos, reportou a companhia na última sexta-feira (02).

Segundo John Hammond, pesquisador sênior de segurança da Huntress, a supeita principal é que o ataque foi responsabilidade do grupo cibercriminoso REvil ou de algum grupo afiliado.

O ataque aproveitou uma falha que permitiu a distribuição de ransomware por meio do software Administrador de Sistemas Virtuais (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação confiável que permite aos MSPs acesso privilegiado e ilimitado para ajudar empresas com seus ambientes de TI.

“Os atacantes estão usando MSPs como método de distribuição para atingir o maior número possível de empresas, independentemente do tamanho ou tipo de setor”, afirmou Mark Loman, diretor de Engenharia da empresa de cibersegurança Sophos, que também investiga o caso.

“Este é um padrão que estamos começando a ver com frequência, pois os invasores estão constantemente mudando seus métodos para obter o maior impacto possível, seja para recompensa financeira, roubo de credenciais de dados ou outras informações pessoais que possam ser aproveitadas posteriormente, entre outros”, completou.

Leia mais: Tentativas de fraude digital em serviços financeiros crescem seis vezes

O grupo REvil é o mesmo responsável pelo ataque que foi direcionado às operações da JBS nos Estados Unidos. O método de escolha do coletivo costuma ser o de ransomwares, quando há sequestro de dados e cobrança de resgate.

O ataque foi confirmado na noite de sexta por Fred Voccola, CEO da Kaseya. Segundo o executivo, a empresa adotou procedimentos de resposta a incidentes para determinar o escopo e a extensão de danos a clientes afetados.

A empresa também está trabalhando com autoridades de segurança dos Estados Unidos, incluindo o FBI e a agência de Cibersegurança e Segurança de Infraestrutura (CISA), para determinar a origem do ataque.

Segundo Voccola, ao menos 40 clientes foram atingidos pelos ataques ao redor do mundo. Assim que identificou o ataque, a companhia desligou servidores de SaaS para proteger mais de 36 mil clientes. De acordo com a Sophos, ao menos 70 provedores de serviços gerenciados foram afetados, resultando em mais de 350 organizações afetadas.

“Acreditamos que o número total de organizações que foram vítimas seja mais alto do que o que está sendo relatado por qualquer empresa de segurança individual. As empresas atingidas são de diferentes locais em todo o mundo, a maioria nos Estados Unidos, Alemanha e Canadá, com alguns outros na Austrália, Reino Unido e outras regiões”, disse Ross McKerchar, vice-presidente e diretor de segurança da informação da Sophos.

(Com informações de ZDnet)