As autoridades de segurança cibernética dos Estados Unidos estão monitorando um novo e significativo ataque de ransomware realizado pelo mesmo grupo responsável pelo ataque à JBS Foods, um fornecedor de carne. Desta vez, o malware conhecido como REvil alvejou diversas empresas de gerenciamento de TI, comprometendo centenas de seus clientes corporativos.
A gangue cibercriminosa, supostamente operando na Europa Oriental ou Rússia, direcionou sua atenção ao fornecedor de software de renome chamado Kaseya. Os produtos da Kaseya são amplamente utilizados por empresas de gerenciamento de TI. Especialistas em segurança cibernética revelaram que este recente ataque de ransomware já resultou na interrupção de ao menos uma dúzia de empresas de suporte de TI que dependem da ferramenta de gerenciamento remoto da Kaseya, chamada VSA. Segundo Kyle Hanslovan, CEO da empresa de segurança cibernética Huntress Labs, em pelo menos um caso, os hackers exigiram um resgate de US$ 5 milhões.
Além de afetar as empresas de gerenciamento de TI diretamente, o incidente também impactou as empresas clientes corporativas que terceirizaram suas operações de gerenciamento de TI. Hanslovan estimou que cerca de 1.000 pequenas e médias empresas possam ser prejudicadas por esse ataque.
Os cibercriminosos têm aumentado seus ataques a organizações que desempenham funções vitais em diversos setores da economia dos EUA nos últimos meses. O ataque ao Oleoduto Colonial em maio causou uma interrupção no fornecimento de combustível para postos de gasolina ao longo da costa leste. O ataque cibernético à JBS levou ao fechamento temporário de todas as suas nove fábricas de processamento de carne bovina nos Estados Unidos.
Esse ataque recente, de rápida propagação, tem gerado preocupação entre especialistas em segurança cibernética. Christopher Krebs, ex-diretor da Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna, aconselhou as empresas que usam o Kaseya VSA a desativá-lo até que recebam instruções para reativá-lo como parte de uma resposta a incidentes. A Kaseya confirmou que desativou seus servidores em nuvem enquanto investiga o ocorrido com o VSA.
A empresa de segurança cibernética Emsisoft analisou o software malicioso e concluiu que foi criado pelo grupo de ransomware REvil, que também é suspeito de estar por trás do ataque à JBS Foods.
Este ataque, utilizando uma abordagem de cadeia de suprimentos, assemelha-se à tática empregada pelos hackers russos no comprometimento da SolarWinds, embora, nesse caso, o software malicioso tenha sido utilizado para assumir o controle das redes das vítimas, ao invés de espioná-las.
