Kaseya, um ciberataque colossal através de software de gestão

Muitas empresas no mundo são vítimas de um ataque cibernético de extorsão por meio de uma quebra de segurança em um software de gerenciamento amplamente utilizado da empresa americana Kaseya. A seguir alguns detalhes do ataque reivindicado pelo grupo de hackers REvil.

O que é a Kaseya, ponto de acesso do ataque?

Com sede em Miami, a Kaseya vende ferramentas de TI para empresas, incluindo o programa “VSA”, voltado para o gerenciamento de redes de servidores, computadores e impressoras de uma única fonte.

Afirma ter 40.000 clientes em mais de 20 países e em setores tão diversos como manufatura, saúde, educação, mídia ou finanças.

Com foco em empresas de médio porte, a Kaseya propõe a seus clientes o controle, gerenciamento e proteção centralizada de todo o seu sistema de TI.

“Nossa missão é simplificar o gerenciamento de TI”, afirma em seu site.

Quantas empresas afetadas?

A extensão dos danos ainda é desconhecida, mas o número de vítimas pode ser significativo.

De acordo com a empresa de segurança cibernética Eset, o ataque afetou empresas de pelo menos 17 países.

Outra empresa de segurança cibernética, a Huntress Labs, calculou no sábado que mais de 1.000 empresas foram atacadas.

O grupo que executou a ação, REvil, afirma ter comprometido um milhão de computadores em uma reivindicação publicada em um blog.

Para Ciaran Martin, professor de Cibersegurança da Universidade de Oxford, “é provavelmente o maior ataque com ‘ransomware’ de todos os tempos”. O especialista considera seu impacto “difícil de quantificar”.

“Estamos enfrentando um fenômeno sistêmico que todos tememos”, disse à AFP Loic Guezo, secretário-geral da Clusif, uma associação francesa de especialistas em segurança cibernética.

“Verificamos, por exemplo, que o ataque atingiu uma rede de supermercados na Suécia (Coop Suécia), muito longe do ponto inicial de invasão dos piratas”, a empresa Kaseya.

A maioria das 800 lojas da Coop Suécia ainda estava fechada nesta segunda-feira devido ao ataque cibernético, de acordo com esta grande rede de distribuição.

O que é um ‘ransomware’?

O ataque de chantagem ou ‘ransomware’ (abreviação de resgate e programa em inglês) é um tipo de sequestro digital: um programa malicioso entra furtivamente em um sistema de computador para criptografar todos os seus dados e arquivos.

Para obter a chave para descriptografá-lo, o proprietário deve pagar um resgate que normalmente é feito em bitcoins, uma criptomoeda que permite que os hackers permaneçam indetectáveis e anônimos.

Os Estados Unidos têm sido alvo de ataques espetaculares desse tipo contra grandes empresas como a gigante da carne JBS, a operadora de oleodutos Colonial Pipeline ou também contra hospitais.

Pelo menos US$ 18 bilhões foram pagos em resgates a hackers em 2020, de acordo com a empresa de segurança Emsisoft. Muitos especialistas suspeitam que os hackers chantagistas estão na Rússia e têm alguma proteção do governo, que nega qualquer envolvimento.

A questão adquire tamanha magnitude que foi um dos pontos levantados pelo presidente dos EUA, Joe Biden, durante a cúpula com o russo Vladimir Putin, em meados de junho.

O que é o grupo REvil?

O ataque foi atribuído a um grupo de piratas de língua russa conhecido como REvil ou Sodinokibi.

Um relatório recente da IBM Security X-Force considerou o Sodinokibi como o grupo cibercriminoso mais temido em termos de ‘ransomware’, sendo responsável por 29% desses tipos de ataques em 2020.

Os autores deste relatório calculam que os hackers do REvil obtiveram US$ 123 milhões em lucros em 2020.

O REvil cria programas de computador que permitem atacar empresas e indivíduos e os compartilha com seus afiliados, que lançam o programa eles próprios e depois dividem o resgate.

Em 2021, a autoridade francesa de segurança de computadores (Anssi) explicou que o programa de Sodinokibi estava disponível em fóruns criminais russófonos para criminosos de elite.

“Sodinokibi decidiu limitar significativamente o número de afiliados, impor um alto nível de atividade e banir todos os afiliados que falam inglês”, explicou este órgão.