Em 2 de julho de 2021, um usuário do REvil/Sodinokibi explorou várias vulnerabilidades no produto Kaseya VSA para distribuir um criptografador de ransomware para terminais conectados. É o maior pedido de resgate da história. Um comentário de Charles Carmakal, vice-presidente sênior e CTO da Mandiant.
O Kaseya VSA é uma solução de monitoramento e gerenciamento remoto usada por provedores de serviços gerenciados (MSPs) e empresas para gerenciar remotamente sistemas de computador. O número de organizações afetadas pela interrupção do ransomware REvil é atualmente desconhecido, mas a Kaseya estima que o número de casos seja inferior a 1.500. Muitas das empresas afetadas são empresas familiares muito pequenas que, devido ao fim de semana de feriado nos EUA, descobriram o impacto tarde.
REvil Ransomware como serviço (RaaS)
O REvil Ransomware-as-a-Service (RaaS) é promovido em fóruns clandestinos em russo desde maio de 2019. No modelo de negócios RaaS, um grupo central desenvolve o ransomware, se comunica com as vítimas e opera a infraestrutura de back-end. Parceiros ou grupos afiliados realizam os ataques e espalham o ransomware. O RaaS é operado pelo hacker “UNKN” (também conhecido como “Desconhecido”), que não aceita parceiros que falam inglês e não permite que os parceiros ataquem países da CEI, incluindo a Ucrânia. Os usuários conhecidos falam russo, mas é provável que alguns dos participantes não residam fisicamente na Rússia. Após o ataque Colonial Pipeline, o UNKN fez esforços para restringir os alvos dos usuários do REvil e insistiu em verificar os alvos antes de distribuir o ransomware.
REvil exige resgate de US$ 70 milhões
Charles Carmakal, SVP e CTO, Cliente (Imagem: FireEye)
REvil assumiu a responsabilidade pelo ataque na noite de 4 de julho e afirmou ter atingido mais de um milhão de sistemas. Eles estão exigindo US$ 70 milhões por uma chave de descriptografia universal que pode ser usada para desbloquear qualquer sistema afetado. Esta soma exorbitante é a mais alta da história. Em conversas privadas, o REvil reduziu proativamente suas demandas. Eles também são conhecidos por exagerar o escopo e o impacto de seus ataques. Além disso, o REvil ainda não divulgou nenhum dado das infiltrações. Um método que costumam usar para forçar suas vítimas a pagar. Enquanto os criminosos puderem exigir dezenas de milhões de dólares em resgate e não enfrentarem pena de prisão, esse problema só vai piorar. Esses grupos são bem financiados e altamente motivados, e apenas uma ação coletiva determinada mudará a maré.
Mais em FireEye.com
Sobre a Trellix A Trellix é uma empresa global que está redefinindo o futuro da cibersegurança. A plataforma aberta e nativa de detecção e resposta estendida (XDR) da empresa ajuda as organizações que enfrentam as ameaças mais avançadas de hoje a ganhar a confiança de que suas operações estão protegidas e resilientes. Os especialistas em segurança da Trellix, juntamente com um amplo ecossistema de parceiros, aceleram a inovação tecnológica por meio de aprendizado de máquina e automação para oferecer suporte a mais de 40.000 clientes empresariais e governamentais.