Depois do Sunburst (Solarwinds), o ataque a Kaseya é o segundo ataque de alto perfil à cadeia de suprimentos em meio ano. Com base no número de empresas afetadas ao mesmo tempo, o ataque cibernético é certamente um dos maiores da história da segurança de TI. Um comentário de Richard Werner, consultor de negócios da Trend Micro sobre a crise da Kaseya.
No fim de semana de 4 de julho, feriado nacional dos EUA, um ataque cibernético atingiu a provedora de serviços Kaseya e rapidamente se espalhou para seus clientes e outras empresas. De acordo com a plataforma de notícias Bleepingcomputer, cerca de 50 clientes diretos do prestador foram afetados, que por sua vez infetaram os seus clientes enquanto prestadores de serviços. Segundo a agência de notícias, cerca de 1.500 empresas são afetadas em todo o mundo.
50 clientes da Kaseya infectam 1.500 outras empresas
A Trend Micro pode confirmar que também ocorreram incidentes na Alemanha. O facto de o ataque ter ocorrido num dos feriados mais importantes dos EUA não é uma coincidência, mas um cálculo cuidadoso dos perpetradores – que funcionou. Não só as equipas de segurança de TI geralmente têm falta de pessoal aos fins-de-semana e feriados, como também as cadeias de comunicação com os clientes afetados foram interrompidas, o que significa que o ataque muitas vezes conseguiu espalhar-se sem impedimentos. Com base no número de empresas afetadas ao mesmo tempo, o ataque cibernético é certamente um dos maiores da história da segurança de TI. Se você dividi-lo em suas partes individuais, entretanto, surgirão muitos paralelos com outros ataques. A partir do padrão aproximado e repetitivo, as empresas podem tirar algumas lições úteis para a sua infraestrutura:
Tudo começa com a vulnerabilidade de segurança
O que chama a atenção no caso “Kaseya” é que foi utilizada uma falha de segurança no software que era de conhecimento da fabricante no momento do crime e cujo fechamento já estava em fase beta. Os atacantes não tinham muito tempo se quisessem ter sucesso. O prestador de serviços foi informado da existência da vulnerabilidade através da chamada “divulgação responsável” e trabalhou para fechá-la. O contexto temporal é, no entanto, incomum e deixa espaço para interpretação. Embora o problema dos patches na segurança de TI seja bem conhecido, as empresas devem ter em mente que os invasores não procuram apenas vulnerabilidades na Microsoft ou em outras variantes de software amplamente utilizadas, mas também no software dos provedores de serviços de TI. O foco está particularmente em aplicativos que se comunicam diretamente com vários dispositivos do cliente. Se você desenvolve seu próprio software, esse fato também deve fazer parte do cálculo de risco.
As especificidades de um ataque à cadeia de suprimentos
Todo o incidente pode ser classificado na categoria “ataque à cadeia de suprimentos”. Nesta categoria, que ainda é relativamente rara, mas está a tornar-se cada vez mais comum, o perpetrador infeta primeiro os prestadores de serviços de TI. Eles são muito interessantes porque possuem conexões de TI existentes ou ativadas com outras empresas. Isto afeta, por exemplo, mecanismos de atualização que realizam atualizações diretamente em sistemas de terceiros, mas também sistemas de manutenção remota, processamento de pedidos e similares. Como resultado, os perpetradores conseguem assumir o controle de uma máquina, geralmente um servidor, no data center da vítima. Em contraste com os ataques “clássicos”, todas as soluções de segurança de rede e de segurança baseadas em clientes são ignoradas. O que resta é o que é ativado nos sistemas servidores e monitora as comunicações entre os sistemas servidores.
Tecnologia antivírus desatualizada abre caminho
Muitas vezes, essa é uma tecnologia antivírus desatualizada, especialmente em data centers locais. Além disso, muitas vezes faltam patches de segurança importantes - caso os sistemas operacionais sejam suportados. Esta circunstância garante que o perpetrador possa muitas vezes eliminar a vítima final com extrema rapidez e mover-se através dos sistemas praticamente sem ser detectado. Quanto maior o dano inicial, melhor para o atacante, pois uma enorme pressão pode ser acumulada. A oferta especial da Kaseya deu aos criminosos a oportunidade de alcançar diretamente não apenas as empresas, mas também seus clientes. Isto explica o número relativamente grande de vítimas. Os ataques à cadeia de suprimentos são relativamente raros porque são complicados e exigem muito esforço do invasor. No entanto, o seu efeito é muitas vezes fatal.
As lições de “Kaseya”
É importante compreender que esta não é uma onda temporária. No atual cenário de segurança de TI em rápida mudança, fatores externos são frequentemente responsáveis pela situação atual. Estes incluem a importância da TI nas empresas, o uso generalizado da TI pelos funcionários e o surgimento do Bitcoin. Embora os dois primeiros contribuam para que as TI e especialmente a segurança das TI nas empresas se tornem cada vez mais complexas e, portanto, mais confusas, o surgimento das criptomoedas revolucionou, na verdade, o submundo cibernético. Isto permite que os protagonistas do underground aumentem a sua especialização e negociem entre si sem restrições. Todos os três fatores não podem mais ser revertidos. A complexidade mencionada torna-se cada vez mais um fardo para os defensores, o que causa problemas tanto na transferência como na interação puramente interpessoal. As empresas devem, portanto, verificar a sua estratégia de segurança atual para técnicas de ataque modernas. O exemplo de Kaseya pode ajudar.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.