Kaseya, um ano depois: O que aprendemos?

O ransomware Nota informa que seus arquivos estão sendo mantidos como reféns e estão “criptografados e indisponíveis no momento”. Alegadamente, todas as extensões de arquivo foram alteradas para .csruj. Os sequestradores exigem pagamento em troca de uma chave de descriptografia. Um “brinde” é oferecido: uma chave de descriptografia de arquivo de uso único como um gesto de boa fé para provar que a chave de descriptografia funciona.

Os operadores adicionam (ortografia inalterada):

“É apenas um negócio. Nós absolutamente não nos importamos com você e seus negócios, exceto obter benefícios. Se não fizermos nosso trabalho e nossas responsabilidades, ninguém não cooperará conosco. Não é do nosso interesse. Se você não cooperar com nosso serviço – para nós, isso não importa. Mas você perderá seu pace e seus dados, pois só temos a chave privada. Na prática – o pace é muito mais valioso do que o dinheiro.”

Visão geral do ataque do ransomware Kaseya

Na sexta-feira, 2 de julho de 2021, a Kaseya Restricted, desenvolvedora de tool para infraestrutura de TI que fornece monitoramento de gerenciamento remoto (RMM), descobriu que estava sob ataque e desligou seus servidores. O que aconteceu foi posteriormente descrito pela Kaseya e pelo FBI como um “ataque de ransomware da cadeia de suprimentos bem coordenado, aproveitando uma vulnerabilidade no tool da Kaseya contra vários MSPs (provedores de serviços gerenciados) e seus clientes”.

Especificamente, os invasores lançaram uma atualização de tool falsa por meio de uma vulnerabilidade de desvio de autenticação que propagou malware por meio dos clientes MSP da Kaseya para suas empresas downstream.

O grupo REvil, com sede na Rússia, reivindicou a responsabilidade em 5 de julho de 2021 e exigiu US$ 70 milhões em troca de descriptografar todos os sistemas afetados. Mas quando o pedido de resgate do REvil chegou às suas vítimas, muitas empresas já haviam restaurado seus sistemas a partir de backups. Algumas vítimas já haviam negociado seus próprios resgates individuais, supostamente pagando entre US$ 40.000 e US$ 220.000.

A Kaseya anunciou em 23 de julho de 2021 que havia adquirido uma chave de descriptografia common de um “terceiro confiável” não identificado e a estava oferecendo aos clientes.

Conforme relatado por Reuters em 21 de outubro de 2021, os servidores REvil foram invadidos e forçados a ficar offline. Tom Kellermann, chefe de segurança cibernética da VMware, disse que “o FBI, em conjunto com o Cyber ​​Command, o Serviço Secreto e países com ideias semelhantes, realmente se engajou em ações disruptivas significativas contra esses grupos”. Kellermann, consultor do Serviço Secreto dos EUA em investigações de crimes cibernéticos, acrescentou: “O REvil estava no topo da lista”.

Em janeiro de 2022, o Serviço Federal de Segurança da Rússia disse que havia REvil desmontado e acusou vários de seus membros depois de receber informações dos EUA

‘Pace é mais valioso que dinheiro.’

Os cibercriminosos iniciantes podem iniciar seus negócios em casa com apenas alguns cliques e um pequeno investimento financeiro. Ransomware-as-a-Carrier (RaaS) está a caminho de se tornar a plataforma de advertising and marketing multinível que mais cresce no mundo.

Os principais operadores que fornecem ransomware estão reunindo todas as ferramentas necessárias para realizar esses ataques. Todas as ferramentas cibernéticas, documentação e até vídeos de instruções, acesso a um painel e, às vezes, até 80% de comissão por resgates bem-sucedidos recebidos são fornecidos em troca de uma taxa fixa mensal ou uma assinatura de afiliado. Os afiliados recebem crédito por seus ataques por meio de IDs exclusivos incorporados ao malware que usam.

Como muitos ataques cibernéticos não são totalmente divulgados, é difícil avaliar com precisão o impacto financeiro que o ransomware tem nos negócios, mas, de acordo com o Relatório de crimes na Web 2021o IC3 recebeu 847.376 reclamações em 2021 sobre todos os crimes na web, com perdas de US$ 6,9 bilhões.

Um relatório recente da Coveware indica que o caso médio de ransomware no 4to trimestre de 2021 durou 20 dias. O relatório também mostra que o custo mais sério do ransomware está associado à interrupção dos negócios. Mesmo que sua organização tenha backups que você united states para restaurar o que foi perdido, pode levar dias até que os sistemas voltem a funcionar, o que pode ter um impacto operacional, financeiro e de reputação significativo.

Inúmeras pesquisas descrevem a falha nas comunicações entre os profissionais de segurança cibernética e as ações tomadas ou não pelo C-suite. Mas há indicações de que as práticas comerciais de desenvolvimento de tool estão melhorando. Uma pesquisa recente de GitLabGenericName indica que os pipelines de tool automatizados estão descobrindo vulnerabilidades de segurança antes do envio do código. À medida que o devops está cada vez mais mudando para a esquerda, também há algumas mudanças de mentalidade acontecendo.

Orientação de mitigação e endurecimento

Os identificadores incorporados permitem que o provedor de RaaS identifique remotamente seus afiliados e pague suas comissões. Mas esses identificadores também fornecem aos investigadores uma maneira de conectar diretamente ataques individuais a campanhas mais amplas.

“Embora o setor proceed integrando a segurança ao desenvolvimento e as organizações estejam começando a melhorar a segurança em geral, nossa pesquisa mostra que é necessário um delineamento mais claro de responsabilidades e adoção de novas ferramentas para mudar completamente a segurança para a esquerda”, disse Johnathan Hunt, vice-presidente. de segurança no GitLab. “No futuro, esperamos ver as equipes de segurança encontrarem mais maneiras de estabelecer expectativas claras para os outros membros de sua organização e continuar a adotar tecnologias inovadoras para digitalização e revisão de código para melhorar a velocidade e a qualidade dos ciclos de desenvolvimento.”

O Instituto Nacional de Padrões e Tecnologia (NIST) divulgou Defesa contra ataques à cadeia de suprimentos de tool em abril de 2021. O relatório destaca técnicas comuns de ataque e ações que os defensores da rede devem tomar para mitigar componentes de tool vulneráveis.

As recomendações do NIST incluem um programa de gerenciamento de vulnerabilidades que permite à organização verificar, identificar, fazer a triagem e, em seguida, mitigar vulnerabilidades. O programa de gerenciamento de vulnerabilidades de uma organização deve incluir processos e ferramentas para aplicação de patches de tool, conforme necessário.

Os defensores da rede devem utilizar o gerenciamento de configuração e a automação de processos para rastrear produtos e serviços que a empresa united states e os fornecedores que os fornecem. Manter-se atualizado com as mudanças (patches, novas versões, eventos de fim de vida, and so on.) para cada produto ou serviço é desafiador, mas fundamentalmente necessário.

Os ataques RaaS continuarão e, em todos os aspectos, serão mais simplificados. Evitar que sua empresa perca dados, recursos, pace e dinheiro exigirá pessoal treinado e vigilância.