FOTO DO ARQUIVO: Um smartphone com as palavras “Ataque de ransomware” e código binário é visto na frente do logotipo da Kaseya nesta ilustração tirada em 6 de julho de 2021. REUTERS / Dado Ruvic / Ilustração
3 de agosto de 2021
Por Joseph Menn
SAN FRANCISCO (Reuters) – Um ataque de ransomware em julho que paralisou até 1.500 organizações ao comprometer software de gerenciamento de tecnologia de uma empresa chamada Kaseya deu início a uma corrida entre criminosos em busca de vulnerabilidades semelhantes, disseram especialistas em segurança cibernética.
Uma afiliada de uma gangue de ransomware de língua russa conhecida como REvil usou duas falhas no software da Kaseya, da Flórida, para invadir cerca de 50 provedores de serviços gerenciados (MSPs) que usavam seus produtos, disseram os investigadores.
Agora que os criminosos veem como os ataques MSP podem ser poderosos, “eles já estão ocupados, já avançaram e não sabemos para onde”, disse Victor Gevers, chefe do Instituto Holandês para Divulgação de Vulnerabilidades, sem fins lucrativos, que alertou a Kaseya das fraquezas antes do ataque.
“Isso vai acontecer de novo e de novo”.
Gevers disse que seus pesquisadores descobriram vulnerabilidades semelhantes em mais MSPs. Ele se recusou a nomear as empresas porque elas ainda não resolveram todos os problemas.
Os provedores de serviços gerenciados incluem empresas como IBM e Accenture, que oferecem versões em nuvem de softwares populares e empresas especializadas dedicadas a setores específicos. Eles normalmente atendem a empresas de pequeno e médio porte que carecem de recursos de tecnologia internos e muitas vezes aumentam a segurança.
Mas os MSPs também são um veículo eficiente para ransomware porque têm amplo acesso dentro de muitas das redes de seus clientes. O software da Kaseya atende a muitos MSPs, então os ataques se multiplicaram antes que a Kaseya pudesse avisar a todos, criptografando dados rapidamente e exigindo resgates de até US $ 5 milhões por vítima.
O negócio dos MSPs cresceu muito durante a pandemia do coronavírus, juntamente com o rápido aumento do trabalho remoto.
“É aí que você encontra o acesso confiável aos sistemas dos clientes”, disse Chris Krebs, o primeiro líder da Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos, que tornou o ransomware uma prioridade. “É uma abordagem muito mais econômica para lançar um ataque de emergência. E é difícil para o cliente se defender. ”
A Bugcrowd Inc, uma das várias plataformas onde os pesquisadores podem relatar vulnerabilidades, também viu falhas de segurança tão graves quanto as da Kaseya, disse o presidente-executivo da Bugcrowd, Ashish Gupta, talvez porque os MSPs estão crescendo muito rápido.
“O tempo de lançamento no mercado é um requisito muito alto e, às vezes, a velocidade se torna inimiga da segurança”, disse Gupta.
Os provedores de serviços já foram visados antes – de forma mais dramática por suspeitos de hackers do governo chinês que perseguiram grandes empresas de tecnologia em uma série de violações conhecidas como Cloud Hopper. https://www.reuters.com/investigates/special-report/china-cyber-cloudhopper
O REvil atingiu mais de 20 municípios do Texas por meio de um provedor compartilhado há dois anos, mas exigiu apenas US $ 2,5 milhões em resgate total, disse Andy Bennett, então funcionário estadual responsável pela resposta.
Com os extorsionários do REvil pedindo um recorde de US $ 70 milhões para reverter todos os danos da Kaseya, ele disse: “suas aspirações são claramente maiores agora e sua abordagem é mais comedida”. Não está claro quanto resgate foi finalmente pago ou quantas empresas foram afetadas.
Um aumento nos ataques de ransomware levou o presidente dos EUA, Joe Biden, a alertar o presidente russo, Vladimir Putin, que os Estados Unidos agiriam por conta própria contra as piores gangues de hackers que operam em solo russo, a menos que as autoridades os controlassem.
Em 22 de julho, a Kaseya disse que uma empresa de segurança havia desenvolvido uma chave de descriptografia universal sem pagar os criminosos, o que gerou especulações de que Putin ajudou ou que agências americanas hackearam REvil.
A CISA está tentando passar a palavra aos MSPs e aos seus clientes sobre os riscos e o que fazer com eles, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética.
Menos de duas semanas após o ataque da Kaseya em 2 de julho, a CISA emitiu diretrizes https://www.cisa.gov/sites/default/files/publications/CISA%20Insights_Guidance-for-MSPs-and-Small-and-Mid-sized- Businesses_S508C.pdf para melhores práticas em ambos os lados da equação. CISA também oferece avaliações de risco gratuitas, testes de penetração e análises de arquitetura de rede.
“As organizações precisam examinar a segurança de seus MSPs”, disse Goldstein. “A consideração mais ampla aqui é a importância para organizações grandes e pequenas entenderem as relações de confiança que têm com as entidades que têm conexões em seu ambiente.”
(Reportagem de Joseph Menn; edição de Grant McCool)
.
FOTO DO ARQUIVO: Um smartphone com as palavras “Ataque de ransomware” e código binário é visto na frente do logotipo da Kaseya nesta ilustração tirada em 6 de julho de 2021. REUTERS / Dado Ruvic / Ilustração
3 de agosto de 2021
Por Joseph Menn
SAN FRANCISCO (Reuters) – Um ataque de ransomware em julho que paralisou até 1.500 organizações ao comprometer software de gerenciamento de tecnologia de uma empresa chamada Kaseya deu início a uma corrida entre criminosos em busca de vulnerabilidades semelhantes, disseram especialistas em segurança cibernética.
Uma afiliada de uma gangue de ransomware de língua russa conhecida como REvil usou duas falhas no software da Kaseya, da Flórida, para invadir cerca de 50 provedores de serviços gerenciados (MSPs) que usavam seus produtos, disseram os investigadores.
Agora que os criminosos veem como os ataques MSP podem ser poderosos, “eles já estão ocupados, já avançaram e não sabemos para onde”, disse Victor Gevers, chefe do Instituto Holandês para Divulgação de Vulnerabilidades, sem fins lucrativos, que alertou a Kaseya das fraquezas antes do ataque.
“Isso vai acontecer de novo e de novo”.
Gevers disse que seus pesquisadores descobriram vulnerabilidades semelhantes em mais MSPs. Ele se recusou a nomear as empresas porque elas ainda não resolveram todos os problemas.
Os provedores de serviços gerenciados incluem empresas como IBM e Accenture, que oferecem versões em nuvem de softwares populares e empresas especializadas dedicadas a setores específicos. Eles normalmente atendem a empresas de pequeno e médio porte que carecem de recursos de tecnologia internos e muitas vezes aumentam a segurança.
Mas os MSPs também são um veículo eficiente para ransomware porque têm amplo acesso dentro de muitas das redes de seus clientes. O software da Kaseya atende a muitos MSPs, então os ataques se multiplicaram antes que a Kaseya pudesse avisar a todos, criptografando dados rapidamente e exigindo resgates de até US $ 5 milhões por vítima.
O negócio dos MSPs cresceu muito durante a pandemia do coronavírus, juntamente com o rápido aumento do trabalho remoto.
“É aí que você encontra o acesso confiável aos sistemas dos clientes”, disse Chris Krebs, o primeiro líder da Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos, que tornou o ransomware uma prioridade. “É uma abordagem muito mais econômica para lançar um ataque de emergência. E é difícil para o cliente se defender. ”
A Bugcrowd Inc, uma das várias plataformas onde os pesquisadores podem relatar vulnerabilidades, também viu falhas de segurança tão graves quanto as da Kaseya, disse o presidente-executivo da Bugcrowd, Ashish Gupta, talvez porque os MSPs estão crescendo muito rápido.
“O tempo de lançamento no mercado é um requisito muito alto e, às vezes, a velocidade se torna inimiga da segurança”, disse Gupta.
Os provedores de serviços já foram visados antes – de forma mais dramática por suspeitos de hackers do governo chinês que perseguiram grandes empresas de tecnologia em uma série de violações conhecidas como Cloud Hopper. https://www.reuters.com/investigates/special-report/china-cyber-cloudhopper
O REvil atingiu mais de 20 municípios do Texas por meio de um provedor compartilhado há dois anos, mas exigiu apenas US $ 2,5 milhões em resgate total, disse Andy Bennett, então funcionário estadual responsável pela resposta.
Com os extorsionários do REvil pedindo um recorde de US $ 70 milhões para reverter todos os danos da Kaseya, ele disse: “suas aspirações são claramente maiores agora e sua abordagem é mais comedida”. Não está claro quanto resgate foi finalmente pago ou quantas empresas foram afetadas.
Um aumento nos ataques de ransomware levou o presidente dos EUA, Joe Biden, a alertar o presidente russo, Vladimir Putin, que os Estados Unidos agiriam por conta própria contra as piores gangues de hackers que operam em solo russo, a menos que as autoridades os controlassem.
Em 22 de julho, a Kaseya disse que uma empresa de segurança havia desenvolvido uma chave de descriptografia universal sem pagar os criminosos, o que gerou especulações de que Putin ajudou ou que agências americanas hackearam REvil.
A CISA está tentando passar a palavra aos MSPs e aos seus clientes sobre os riscos e o que fazer com eles, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética.
Menos de duas semanas após o ataque da Kaseya em 2 de julho, a CISA emitiu diretrizes https://www.cisa.gov/sites/default/files/publications/CISA%20Insights_Guidance-for-MSPs-and-Small-and-Mid-sized- Businesses_S508C.pdf para melhores práticas em ambos os lados da equação. CISA também oferece avaliações de risco gratuitas, testes de penetração e análises de arquitetura de rede.
“As organizações precisam examinar a segurança de seus MSPs”, disse Goldstein. “A consideração mais ampla aqui é a importância para organizações grandes e pequenas entenderem as relações de confiança que têm com as entidades que têm conexões em seu ambiente.”
(Reportagem de Joseph Menn; edição de Grant McCool)
.
Discussão sobre isso post