5 minutos para ler
“Temporariamente fechado. Temos um distúrbio de TI e nossos sistemas não estão funcionando.” A rede de supermercados sueca Coop foi duramente atingida pelo ataque da Kaseya. Foto / AP
OPINIÃO:
Levantem a mão todos que já ouviram falar da Kaseya antes do ataque de ransomware no fim de semana?
LEIAMAIS
Os não geeks podem presumir que é o nome de uma fábrica de laticínios ou queijos, mas não, é uma empresa que fabrica produtos remotos
software de monitoramento e gerenciamento ou RMM.
O RRM do Administrador de sistema virtual (VSA) da Kaseya é usado por provedores de serviços gerenciados ou MSPs, o que é uma sopa de acrônimos, mas descreve um modelo pelo qual as empresas terceirizam suas necessidades de TI para lojas especializadas no verisame.
Por quê? Porque configurar e controlar os ambientes de TI que mudam rapidamente não é fácil.
Você precisa de funcionários experientes e dedicados, difíceis de encontrar para isso e que precisam de recursos e fundos caros.
Se a TI não é seu negócio principal, terceirizar o material geek para um MSP faz sentido. Eles devem ser capazes de manter o software e o hardware atualizados, o que no mundo interconectado denso de ameaças de hoje é um requisito absoluto.
Se você executar seus próprios sistemas e perder um patch naqueles que podem ser acessados pela Internet, é provável que o jogo termine para sua organização. Os criminosos digitais e outros criminosos procuram serviços conectados à Internet com falhas conhecidas ou que estão configurados incorretamente.
O que foi dito acima é muito bom até que algo dê errado como aconteceu com a Kaseya no sábado passado. É uma história em desenvolvimento e os pesquisadores de segurança ainda não descobriram todos os detalhes, mas um associado dos criminosos de ransomware REvil conseguiu subverter uma atualização automática para instâncias do Kaseya VSA que os próprios MSPs estavam executando.
Até o momento, as indicações são de que os invasores não precisaram fazer nada especialmente inteligente e foram capazes de simplesmente explorar uma vulnerabilidade de upload de arquivo.
As atualizações automáticas são ótimas até não o serem. Especialmente quando eles contêm ransomware REvil e estão sendo distribuídos para um número ainda não estabelecido de clientes MSP de uma só vez.
Um dos motivos pelos quais o ataque teve tanto sucesso é que, conforme observado pelos pesquisadores de segurança, o software VSA da Kaseya exigia que pastas específicas nos computadores fossem excluídas dos scanners antimalware.
Isso é feito por vários motivos, principalmente para evitar lentidão no desempenho, pois os utilitários antivírus abrem muitos arquivos para serem verificados. Meio legítimo, mas significava que as pastas nas quais o criptografador REvil e os scripts foram inseridos não foram verificadas em busca de malware.
Talvez os criminosos soubessem disso, talvez não. De qualquer forma, não havia nada que impedisse o malware de criptografar os arquivos do usuário. Para ter a certeza absoluta de que o ataque não seria detectado, os invasores executaram scripts para impedir também o sistema anti-malware integrado do Microsoft Defender.
As vítimas atingidas incluem pequenas e grandes empresas em 17 países, como algumas escolas na Nova Zelândia e a rede de supermercados sueca Coop, que teve que fechar centenas de lojas. REvil afirma que o ataque Kaseya criptografou mais de um milhão de sistemas. Isso parece uma ostentação vazia e não houve ainda nenhuma indicação quanto aos números reais.
No entanto, na Austrália, um MSP possuía até 300 sites de clientes atingidos por ransomware. Esses sites costumam ter vários computadores, então o número de máquinas criptografadas provavelmente fica na casa das dezenas de milhares.
Há alguns lampejos de esperança aqui. Aparentemente, o REvil não copiou dados confidenciais das vítimas, embora isso ainda não tenha sido confirmado. O ataque de malware também parece não ter excluído arquivos especiais do Windows, e eles podem ser usados para restaurar dados.
Ataques a MSPs não são novidade e o pior ainda estará por vir. Vítimas de ransomware estão pagando. Isso, junto com sistemas de TI continuamente vulneráveis, garante que o modelo de negócios dos criminosos permanecerá viável por algum tempo.
A ironia aqui é que as vítimas não fizeram nada de errado per se, deixando o gerenciamento de sua TI para os profissionais. Dormir com um olho aberto, cuidar dos computadores em rede para garantir que todos os patches e atualizações importantes sejam aplicados em tempo hábil é para os pássaros.
Por definição, os MSPs são fontes confiáveis e estão lá para proteger seus clientes. Os invasores de ransomware, no entanto, riram dessa ideia e passaram direto pelas defesas.
Tendo sido queimado por software anti-malware e outros sistemas de defesa caros que os deixaram na mão, a ponto de seus negócios ficarem ameaçados, o ataque da Kaseya mostra que tudo o que estamos fazendo em termos de segurança está errado. Talvez seja hora de repensar como fazemos TI e desligar tudo por alguns dias para consertar o pior dos problemas?
.
Discussão sobre isso post