O grupo REvil (também conhecido como Sodinokibi) entrou para a história esse final de semana com um ataque que resultou em centenas ou até milhares de vítimas de uma só vez usando ransomware.
Esse número tão alto é explicado pelo alvo principal do ataque, a Kaseya. Ela é uma empresa muito conhecida principalmente por quem já estudou ou trabalhou com TI. Isso porque sua especialização é sistemas para gerenciamento de redes ou de infraestruturas de tecnologia, e com isso conta com muitos clientes que são provedores de serviços gerenciados. Ou seja, empresas que gerenciam os recursos de TI de outras.
Devido a essa abertura, o ataque ransonware conseguiu atingir cerca de mil empresas, mas provavelmente o número oficial seja ainda maior. Com isso, esse se torna um dos maiores ataques desse estilo já realizado. Se não, o maior.
Leia também:
Avaddon, um dos ransomwares mais perigosos, encerra atividades
Ransomware: fabricante brasileira de baterias automotivas sofre ataque hacker
Aproveitando-se de uma falha
Como a Kaseya é quem fornece os sistemas para as empresas que são provedoras de serviços de TI, isso significa que qualquer comprometimento em sua segurança colocará todas essas organizações também em risco. E foi exatamente o que aconteceu.
O que o grupo fez foi encontrar uma falha zero-day no sistema de monitoramento ou gerenciamento remoto da Kaseya. Essa falha zero-day é aquela que é descoberta e explorada por invasores antes que o desenvolvedor descubra e libere uma correção para o sistema.
E foi por muito pouco, porque a Kaseya já estava ciente dessa falha e já estava trabalhando em uma solução para o problema, porém não foram rápidos o suficiente e o grupo REvil conseguiu explorar antes que isso acontecesse.
Essa falha está relacionada com o mecanismo de atualização do sistema, então o grupo conseguiu fazer com que o ransomware fosse espalhado de forma muito rápida entre as empresas clientes do Kaseya VSA. Dessa forma, foi um ataque em cadeia de fornecedores.
O ransonware é capaz de infectar softwares que são legítimos e dessa forma conseguem ser distribuídos pelos canais oficiais do próprio fornecedor ou desenvolvedor.
Pedindo resgate milionário
Geralmente quando um grupo realiza um ataque ransonware, eles pedem por um resgate, e dessa vez não foi diferente. Só que, diferente do mais corriqueiro, que é um resgate a depender da capacidade de pagamento da vítima, como esse foi tão grande e afetou tantas pessoas, o grupo fez uma espécie de tabela de preços.
Esses preços variam, indo de US$ 40 mil a até US$ 5 milhões a depender da empresa ou clientes. Só que cada um desses pedidos valem apenas para uma extensão de criptografia, ou seja, em sistemas onde existem mais extensões, a vítima vai precisar pagar muito mais.
O REvil publicou uma postagem em um blog revelando que eles estariam dispostos a disponibilizar uma ferramenta para recuperar todos os dados de todas as vítimas, por um valor de US$70 milhões em bitcoins.
O ataque resultou em diversas consequências negativas para as empresas, além do pagamento do resgate. Cerca de 800 lojas da rede de supermercados Coop foram fechadas na Suécia. A brasileira JBS também foi uma das vítimas, já tendo pago o valor de US$11 milhões em criptomoedas.
Com a gravidade do assunto, o presidente dos Estados Unidos, Joe Biden, autorizou que as agências de inteligência entre na investigação para descobrir os responsáveis.
Não que isso seja fácil, já que a REvil trabalha com um esquema de ransomware as a service. Dessa forma, ela conta com afiliados que fazem os ataques, e dessa forma se torna muito difícil ter acesso à identificação de todos eles.
Fonte: The Verge