Check Point comenta ataque de ransomware que visou a empresa de software Kaseya, afetando milhares de empresas a nível mundial

O ataque envolve um produto chamado VSA que permite a monitorização remota de sistemas de computação e a automatização da manutenção dos servidores e das atualizações de segurança

Rui Duro, Country Manager da Check Point Software Technologies em Portugal

“O ataque de ransomware que ocorreu no passado dia 4 de julho, aparentemente conduzido pelo grupo de cibercriminosos russo REvil, é uma combinação catastrófica das tendências de ciberataque mais notórias de 2021.

Este é já um ano em que todos os recordes foram batidos, como sabemos. No espaço de um ano, o número de ataques ocorridos na região EMEA praticamente duplicou. Nos Estados Unidos, esta ofensiva do Dia da Independência em particular atingiu um recorde de vítimas de ransomware. O alcance concreto do ataque é ainda desconhecido, mas sabe-se que, para além dos EUA, também na Europa existem lesados.

O REvil é uma das mais proeminentes famílias de ransomware do mundo, responsável por dezenas de grandes fugas de informação desde 2019 e conhecida por excluir das suas operações a chamada Commonwealth of Independent States (CIS).

A escolha deste fim-de-semana e deste método em específico não é inocente. Procuraram por um backdoor que lhes desse acesso a mais de mil empresas e, através dessas, outras tantas seriam atacadas numa cadeia quase pandémica. Escolheram este fim-de-semana por saberem que o staff de TI estaria offline e que muitas empresas mantém apenas um número reduzido de profissionais. Todos estes fatores ajudam os agentes maliciosos, já que, por um lado, permitem que o ransomware seja totalmente implantado antes que alguém repare, por outro, o pânico instala-se muito mais facilmente se os responsáveis-chave estiverem indisponíveis. A probabilidade de o pedido de resgate ser atendido torna-se evidentemente maior.

Se está a correr o Kaseya VSA, desative-o da rede NESTE MOMENTO, mesmo que possa ser tarde demais.

• Utilize EDR, NDR e outras ferramentas de monitorização de segurança para verificar a legitimidade de quaisquer novos ficheiros no ambiente corporativo desde dia 2 de julho;
• Verifique com os seus fornecedores de segurança se os produtos têm as proteções adequadas contra o ransomware REvil;
• Se necessitar de ajuda, contacte uma equipa de especialistas que verifique a situação no ambiente em concreto.

A verdade é que este ataque deve alarmar todas as empresas. Quando baixamos as guardas, os atacantes chegam-se à frente. É expectável que mais ataques se deem aos fins-de-semana e períodos de férias, e com o trabalho remoto a dar asas a um novo normal, os hackers de hoje são mais eficazes que nunca. É possível que não saibamos o alcance total dos danos até quarta-feira.”