International IT

6 de jul de 20212 min

REvil exige resgate de R$ 350 milhões após um dos maiores ataques de ransomware da história

Atualizado: 6 de dez de 2023

Hackers do grupo REvil (ou Sodinokibi) utilizaram a ferramenta de monitoramento e gerenciamento remoto VSA da Kaseya para infectar os sistemas de pelo menos 1500 empresas e 30 provedores de serviços gerenciados (MSPs).

SAIBA MAIS: Ransomware: Ataques aumentaram 92% no Brasil desde o início de 2021

Os criminosos cibernéticos estão exigindo US$ 70 milhões (aproximadamente R$ 353 milhões) em bitcoins para restaurar os dados de corporações de 17 países.

Essa ação é conhecida como ataque à cadeia de suprimentos e utiliza uma estratégia semelhante ao Caso SolarWinds, em que um malware é instalado por meio de um servidor de atualização.

Resposta da Kaseya

A Kaseya tem divulgado atualizações regulares sobre o ataque e os seus esforços para mitigar prejuízos. A empresa desligou seus servidores VSA e recomenda que seus clientes façam o mesmo nesse momento.

Em comunicado, a Kaseya afirma:

Nossas equipes de Segurança, R&D, Comunicações e Clientes continuam a trabalhar 24 horas por dia em vários países durante o fim de semana para resolver o problema e restaurar o serviço de nossos clientes.
Estamos realizando um retorno em etapas ao serviço de farms de servidores SaaS com funcionalidade restrita e uma postura de segurança mais elevada (estimada para acontecer nas próximas 24–48 horas, mas que está sujeita a alterações).

VEJA TAMBÉM: JBS não priorizou investimentos em cibersegurança e pagou resgate de US$ 11 milhões em bitcoin

Como o ataque foi realizado?

A empresa de segurança Huntress Labs acredita que os cibercriminosos exploraram uma vulnerabilidade SQLi e utilizaram um bypass de autenticação para obter acesso aos servidores VSA.

O ataque desabilita os antivírus locais e, em seguida, executa um falso aplicativo do Windows Defender. Este aplicativo executa as rotinas de ransomware para criptografar arquivos no sistema.

O analista de malware da Sophos, Per Mark Loman, disse que as empresas afetadas estão recebendo pedidos de resgate que variam entre U$ 50.000 e U$ 5 milhões dependendo do tamanho da sua rede.

REvil: Ransomware-as-a-Service

O ransomware REvil foi detectado pela primeira vez em um fórum de hackers russos em junho de 2019. O sistema de RaaS (Ransomware-as-a-Service) é operado como um serviço de afiliados, ou seja, a infraestrutura de pagamento e o desenvolvimento do malware são mantidos pelos operadores REvil, mas qualquer pessoa pode espalhar o malware e receber de 60% a 70% do pagamento do resgate.

Essa abordagem dificulta a identificação dos responsáveis e aumenta o poder de alcance dos ataques.

Fonte: Tecmundo, Blocks & Files e Tecnoblog


Proteja seu futuro. Invista em cibersegurança hoje mesmo.

Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!

    237
    6