Os ataques de ransomware têm vindo a tornar-se cada vez mais frequentes e há um novo caso que está a abalar o panorama da cibersegurança. O grupo REvil levou a cabo um ataque de ransomware que atingiu empresas um pouco por todo o mundo, exigindo um resgate de 70 milhões de dólares em Bitcoin pela “chave” que permitirá às vítimas recuperar os seus ficheiros.

Numa mensagem deixada pelo grupo na sua página, os cibercriminosos afirmam que “mais de um milhão de sistemas foram afetados”. Para já, o número de vítimas do incidente ainda não foi confirmado, embora estimativas de especialistas na área da cibersegurança apontem para centenas de organizações.

Mensagem deixada pelo grupo de hackers REvil

O ataque levado a cabo pelo conhecido grupo de hackers russo, que ainda neste ano atacou a JBS, uma das maiores empresas mundiais de processamento de carnes, assim como a Acer e a Quanta Computers, uma fabricante taiwanesa de computadores e equipamentos eletrónicos que trabalha com a Apple, terá começado a 2 de julho, impactando a tecnológica norte-americana Kaseya.

A data não terá sido escolhida ao acaso, uma vez que no último domingo, dia 4 de julho, se comemorou o Dia da Independência dos Estados Unidos. Tal como explica Rui Duro, Country Manager da Check Point Software Technologies em Portugal, numa nota enviada ao SAPO TEK, os cibercriminosos “escolheram este fim-de-semana por saberem que o staff de TI estaria offline e que muitas empresas mantêm apenas um número reduzido de profissionais”.

Para se infiltrarem nos sistemas da Kaseya, os hackers terão explorado uma vulnerabilidade do software VSA (Virtual Systems Administrator) da empresa, que permite a monitorização remota de sistemas de computação e a automatização da manutenção dos servidores e das atualizações de segurança, que tinha sido reportada em privado e que estava no processo de ser resolvida.

Os hackers “procuraram por um backdoor que lhes desse acesso a mais de mil empresas e, através dessas, outras tantas seriam atacadas numa cadeia quase pandémica, indica o responsável da Check Point Software.

“A verdade é que este ataque deve alarmar todas as empresas. Quando baixamos as guardas, os atacantes chegam-se à frente. É expectável que mais ataques se deem aos fins-de-semana e períodos de férias, e com o trabalho remoto a dar asas a um novo normal, os hackers de hoje são mais eficazes que nunca. É possível que não saibamos o alcance total dos danos até quarta-feira”, sublinha Rui Duro.

Centenas de vítimas por todo o mundo

A Sophos também está a acompanhar o caso e, numa nota enviada ao SAPO TEK, Ross McKerchar, Vice-Presidente e Chief Information Security Office da empresa de cibersegurança, afirma que o caso é um dos “ataques criminosos de ransomware de maior alcance que a Sophos já viu”.

De acordo com os seus investigadores, mais de 70 fornecedores de serviços geridos (MSP) foram afetados, resultando em mais de 350 outras organizações impactadas, a maioria nos Estados Unidos, Alemanha e Canadá, e ainda na Austrália, Reino Unido e outras regiões como Suécia e Nova Zelândia. “Esperamos o alcance total de vítimas seja mais elevado do que o que está a sendo reportado por qualquer empresa de segurança individual”, avança o responsável.

Já Mark Loman, Director of Engineering da Sophos, detalha que os cibercriminosos estão a atacar MSP como método de distribuição para atingir o maior número de empresas possível.

“Este é um padrão que estamos a começar a ver, pois os hackers estão constantemente a mudar os seus métodos para obter o máximo impacto: seja em termos de recompensas financeiras, roubo de credenciais de dados” ou de “outras informações confidenciais que poderão aproveitar posteriormente”, indica Mark Loman.

A Cybersecurity and Infrastructure Security Agency (CISA) e a Keseyapublicaram um conjunto de medidas que devem tomadas pelas vítimas e pelas empresas que suspeitam que possam ter sido afetadas pelo ataque de ransomware.

A imprensa internacional avança também que o governo norte-americano já está a tomar medidas perante o sucedido, com Joe Biden a anunciar que as agências de inteligência do país vão investigar o caso e determinar se há ligações ao governo russo.

Como é que os EUA conseguiram reaver parte do resgate pago no ataque de ransomware à Colonial Pipeline?
Como é que os EUA conseguiram reaver parte do resgate pago no ataque de ransomware à Colonial Pipeline?
Ver artigo

Recorde-se que, ainda em junho, a recém-criada task-force do Departamento de Justiça dos Estados Unidos, que inclui membros do FBI, CISA e de outras agências de inteligência do país, conseguiu reaver parte do resgate pago no ataque de ransomware à Colonial Pipeline numa operação que representa a primeira apreensão do conjunto de entidades passou a coordenar investigações de casos de extorsão digital no país.