Os hackers por trás do ataque de ransomware em massa no fim de semana exploraram várias vulnerabilidades anteriormente desconhecidas no software de gerenciamento de TI fabricado pela Kaseya, em mais um sinal da habilidade e agressividade do grupo ligado à Rússia e apontado como responsável pelos incidentes, disseram pesquisadores de segurança cibernética no domingo.

Marcus Murray, fundador da TrueSec, com sede em Estocolmo, disse que as investigações de sua companhia envolvendo várias vítimas na Suécia concluíram que os hackers já buscavam falhas nessas empresas. Nesses casos, os hackers usaram uma falha anteriormente desconhecida no código da Kaseya, com sede em Miami, para enviar ransomware a servidores que usavam o software e estavam conectados à Internet, disse.

O Instituto Holandês para Divulgação de Vulnerabilidades disse que havia alertado a Kaseya sobre múltiplas vulnerabilidades em seu software que foram então usadas nos ataques, e que estava trabalhando com a empresa em busca de soluções quando o ransomware foi implantado.

A Kaseya “demonstrou um compromisso genuíno em fazer a coisa certa”, escreveu a organização holandesa. “Infelizmente, fomos derrotados pelo REvil na reta final, pois eles puderam explorar as vulnerabilidades antes que os clientes pudessem corrigir”, acrescentou o instituto, em referência ao grupo de hackers da Rússia. O REvil foi acusado de estar por trás do ataque de ransomware em 30 de maio contra a JBS.

As descobertas diferenciam o novo incidente - que, segundo a empresa de segurança cibernética Huntress Labs, afetou mais de 1.000 empresas - de outros ataques recentes contra a cadeia de suprimentos de software. Por exemplo, um ataque que os EUA atribuíram ao serviço de inteligência estrangeira da Rússia, divulgado em dezembro, envolveu atualizações de software alteradas de outro fornecedor de software de gerenciamento de TI, a SolarWinds Corp, com sede em Austin, Texas. Como resultado, nove agências federais e pelo menos 100 empresas foram infiltradas via SolarWinds e outros métodos.

Determinação

Em relação ao ataque mais recente, Frank Breedijk, chefe da equipe de resposta a incidentes de segurança de computador do instituto holandês, destacou o alto nível de habilidade dos hackers ao explorar o software da Kaseya.

“O grande ponto por trás disso é que alguém estava disposto, determinado e tinha os recursos para construir essa cadeia de ataque, e não é uma cadeia trivial de se construir”, disse em entrevista. “Você tem que saber o que está fazendo para que um ataque como este funcione.”

Dana Liedholm, porta-voz da Kaseya, confirmou em e-mail que o incidente envolveu múltiplas vulnerabilidades nos produtos da empresa, classificando a invasão como um “ataque sofisticado armado com ransomware”.

O REvil exigiu US$ 70 milhões em bitcoins para um descriptografador universal, disseram dois especialistas em segurança cibernética que analisaram um anúncio no site do grupo. Daniel Smith, chefe de pesquisa da empresa de segurança cibernética Radware, disse que observou o REvil pedindo US$ 45 mil por sistema infectado no passado.

Os US$ 70 milhões são “consideravelmente menos do que os US$ 45 bilhões que eles pediriam para desbloquear 1 milhão de sistemas que afirmam ter criptografado”, disse Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft, que confirmou o pedido de resgate.

A Kaseya disse que seu produto VSA foi vítima de um “ataque cibernético sofisticado” e que notificou o FBI. A Kaseya identificou menos de 40 clientes atingidos pelo ataque, acrescentando que seus serviços em nuvem não foram afetados. Em comunicado posterior no domingo, a empresa disse que estava trabalhando com a FireEye e outras firmas de segurança para ajudar a administrar as consequências.

Com a colaboração de Jennifer Jacobs e Jamie Tarabay.