O ataque de ransomware bem-sucedido ao software Virtual Systems Administrator (VSA) da Kaseya afeta um grande número de empresas que usam esse software. Um comentário de Mark Loman, diretor de engenharia da Sophos, sobre o recente ataque de ransomware REvil à Kaseya.
“Desde que o último ataque de ransomware REvil se tornou conhecido, a Sophos realizou inúmeras investigações e classificou o ataque na categoria 'Distribuição da cadeia de suprimentos'. Os criminosos usam provedores de serviços gerenciados (MSP) como uma 'plataforma de distribuição' para atingir o maior número possível de empresas, independentemente do tamanho ou setor.
Ransomware usa MSPs como plataforma de distribuição
Estamos vendo um padrão recorrente aqui, pois os invasores adaptam continuamente seus métodos para maximizar o impacto, seja financeiramente ou para roubar credenciais e outras informações proprietárias que poderiam usar posteriormente. Em outros ataques de larga escala que vimos no passado, como o WannaCry, o próprio ransomware era o distribuidor. No caso atual, logo após o ataque, ficou claro que um parceiro REvil ransomware-as-a-service (RaaS) estava usando uma exploração de dia zero para distribuir o ransomware por meio do software Virtual Systems Administrator (VSA) da Kaseya. Normalmente, este software fornece um canal de comunicação altamente confiável que permite aos MSPs acesso privilegiado ilimitado para ajudar muitas empresas com seus ambientes de TI. É precisamente esta plataforma que agora foi reaproveitada como distribuidora do ransomware.”
resgate na casa dos milhões
“Alguns grupos de ransomware bem-sucedidos roubaram milhões de dólares em resgates ultimamente, potencialmente permitindo que eles comprassem explorações de dia zero muito valiosas. Certas explorações normalmente só são viáveis no nível do estado-nação, que normalmente implanta essas ferramentas especificamente para um ataque específico e isolado. Nas mãos dos cibercriminosos, tal 'exploração premium' para uma vulnerabilidade em uma plataforma global pode atingir muitas empresas ao mesmo tempo e impactar nossas vidas diárias.”
Com base no Sophos Threat Intelligence, o REvil tem estado particularmente ativo nas últimas semanas, incluindo o ataque JBS, e atualmente é a gangue dominante de ransomware envolvida nos casos de resposta defensiva a ameaças gerenciadas da Sophos.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.