Pesquisas de ameaças

Ataque de ransomware da cadeia de suprimentos Kaseya VSA

Primeira atualização 2021-07-02, 22:40 UTC
Última atualização 2021-07-04, 23:28 UTC

Na sexta-feira, 2 de julho de 2021 às 14h EDT / 18h UTC, a Sophos tomou conhecimento de um ataque à cadeia de suprimentos que usa o Kaseya para implantar ransomware no ambiente da vítima. Nos últimos anos, houve uma mudança notável em relação a ataques a dispositivos de perímetro. Vulnerabilidades em dispositivos comuns voltados para a Internet permitem que os invasores comprometam um grande número de sistemas de uma vez com muito pouco esforço. Nesse caso, eles visaram o servidor Kaseya VSA.

Parece que os invasores exploraram uma vulnerabilidade de dia zero, possivelmente com SQL Injection (SQLi), para acessar remotamente os servidores VSA da Internet. Como o Kaseya é usado principalmente por provedores de serviços gerenciados (MSPs), essa abordagem deu aos invasores acesso privilegiado aos dispositivos dos clientes do MSP. Alguns dos recursos comuns do VSA Server são a implantação de software e automação de tarefas de TI. Como tal, tem um alto nível de confiança nos dispositivos dos clientes. Ao se infiltrar no VSA Server, qualquer cliente conectado executará qualquer tarefa que o VSA Server solicitar sem questionar. Este é provavelmente um dos motivos pelos quais a Kaseya foi o alvo.

Para obter uma análise detalhada do ataque, do malware usado e das lições aprendidas, consulte o artigo da SophosLabs Uncut, Dia da Independência: REvil usa exploração da cadeia de suprimentos para atacar centenas de empresas.

A SophosLabs e a equipe de operações de segurança da Sophos também publicaram um artigo no blog de segurança sobre esse ataque com vários indicadores de comprometimento (IoCs), incluindo detecções, processos, arquivos, chaves de registro, extensões e domínios que ajudarão as organizações a determinar se são potencialmente afetadas e próximos passos recomendados. No momento, nossa evidência mostra que mais de 70 provedores de serviços gerenciados foram afetados, resultando em mais de 350 organizações afetadas.

Continuaremos atualizando esses artigos em tempo real à medida que novas informações forem disponibilizadas. Se você estiver enfrentando esse ataque e precisar de ajuda, nosso serviço de Resposta Rápida está disponível para ajudá-lo.

Os clientes da Sophos são protegidos por meio de detecções em vários produtos Sophos. Consulte o artigo do Blog de segurança para obter os detalhes completos.

Log de alterações:
2021-07-04, 23:28 UTC – Análise detalhada do ataque, malware usado e lições aprendidas

2021-07-04, 17:35 UTC – Informações atualizadas sobre a abordagem de ataque

2021-07-03, 22:49 UTC – IoCs atualizados

2021-07-03, 02:35 UTC – Atualização adicionada para quem precisa de ajuda