No seguimento das notícias recentemente divulgadas sobre o ciberatauqe à empresa Kaseya, os especialistas da empresa de cibersegurança Sophos têm estado a acompanhar o assunto de perto e deixam os seus comentários:
Ross McKerchar, Vice-Presidente e Chief Information Security Officer da Sophos:
"Este é um dos ataques criminosos de ransomware de maior alcance que a Sophos já viu. Neste momento, os elementos de que dispomos indicam que mais de 70 fornecedores de serviços geridos (MSP) foram afetados, resultando em mais de 350 outras organizações impactadas. Esperamos o alcance total de vítimas seja mais elevado do que o que está a sendo reportado por qualquer empresa de segurança individual. As vítimas estão localizadas numa variedade de lugares em todo o mundo; a maioria nos Estados Unidos, Alemanha e Canadá, e ainda na Austrália, Reino Unido e outras regiões."
Mark Loman, Director of Engineering da Sophos:
“A Sophos está a investigar ativamente o ataque à Kaseya, que vemos como um ataque a uma cadeia de abastecimento distribuída. Os adversários estão a utilizar MSP como o seu método de distribuição para atingir o maior número possível de empresas, independentemente da sua dimensão ou setor. Este é um padrão que estamos a começar a ver, pois os hackers estão constantemente a mudar os seus métodos para obter o máximo impacto; seja em termos de recompensas financeiras, roubo de credenciais de dados, outras informações confidenciais que poderão aproveitar posteriormente e muito mais. Noutros ataques em larga escala que vimos na indústria, como o WannaCry, o próprio ransomware era o distribuidor - neste caso, os MSP que utilizam uma gestão de TI amplamente conhecida são o meio.
Alguns ciberatacantes de ransomware bem-sucedidos arrecadaram milhões de dólares em resgates, o que, potencialmente, lhes permitiu comprar exploits de dia zero altamente valiosos. Considera-se que certos exploits estão ao alcance apenas de estados-nação. Mas, enquanto os estados-nação os utilizariam com moderação para um ataque isolado específico, um exploite de vulnerabilidade nas mãos de cibercriminosos e numa plataforma global pode impactar muitas empresas ao mesmo tempo, e mesmo as nossas vidas quotidianas.
Logo no dia seguinte ao ataque, ficou mais evidente que uma organização afiliada com o REvil Ransomware-as-a-Service (RaaS) tirou partido de um exploit de dia zero, que permitiu distribuir o ransomware através do software Virtual Systems Administrator (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação altamente fiável que permite aos MSP acesso privilegiado ilimitado para ajudar muitas empresas nos seus ambientes de TI.”
Com base em inteligência de ameaças da Sophos, o REvil tem estado ativo nas últimas semanas, incluindo no ataque à JBS, e atualmente é o gang de ransomware dominante que a Sophos encontra nos casos de resposta de ameaças geridas que resolve.
A Sophos continua a investigar e fará atualizações à medida que a situação evoluir.
Post A Comment:
0 comments: