Kaseya Ltd. avisou na tarde de sexta-feira que uma ferramenta chave de software usada por empresas para gerenciar tecnologia em outras empresas pode ter sido alvo de um ataque cibernético.
A Kaseya aconselhou os clientes a encerrar suas cópias de sua plataforma VSA imediatamente. O VSA é usado para monitorar redes e automatizar tarefas de manutenção de tecnologia, como correção e proteção de informações.
De acordo com a empresa de resposta a incidentes Huntress Ltd.
A ferramenta é amplamente usada por provedores de serviços gerenciados que normalmente gerenciam a tecnologia para dezenas de empresas menores que podem não ter os recursos para formar equipes de tecnologia internas. Grupos de tecnologia corporativos e governamentais também usam a ferramenta.
Desativar o VSA é crítico, a Kaseya alertou em um aviso em seu site de suporte, “porque uma das primeiras coisas que o invasor faz é bloquear o acesso administrativo ao VSA”, disse a empresa.
A Cybersecurity and Infrastructure Security Agency, parte do Departamento de Segurança Interna dos EUA, disse em um aviso na sexta-feira que está “tomando medidas para entender e combater o ataque à plataforma VSA da Kaseya”. Um porta-voz da agência não respondeu imediatamente a um pedido de comentário.
Uma porta-voz disse que a Kaseya não foi vítima de um ataque de ransomware e está investigando “ataques em potencial a nossos clientes VSA que possuem o software no local”. A empresa sediada em Dublin fechou seus serviços de nuvem por precaução, disse ela.
Empresas de resposta a incidentes, incluindo a Huntress, disseram que trabalharam com vários provedores de serviços afetados pelo ataque nos Estados Unidos e no exterior.
John Hammond, pesquisador de segurança sênior da Huntress, viu evidências de que, assim que um provedor de serviços é infectado por meio do VSA, o ransomware se espalha para os sistemas do cliente. Hammond disse que viu pedidos de resgate de até US $ 5 milhões.
De acordo com especialistas em segurança, as gangues de ransomware geralmente começam nas tardes de sexta-feira e antes dos feriados, quando é improvável que os funcionários estejam no escritório e as equipes de segurança são mínimas.
Há muito você levanta a preocupação de que hacks de provedores de serviços gerenciados ou de suas cadeias de suprimentos possam ter um efeito em cascata que permite que os hackers infectem dezenas ou mais empresas violando um provedor.
Um hack em dezembro em uma ferramenta de transferência de arquivos do provedor de tecnologia Accellion Inc. se espalhou para organizações em vários países, incluindo o conglomerado de banco central da Nova Zelândia, Singapore Telecommunications GmbH.
e o escritório de advocacia americano Jones Day.
Clientes do provedor de software SolarWinds Inc.
Inconscientemente, começou a instalar malware no início de 2020 por meio do que parecia ser atualizações de rotina para uma ferramenta de gerenciamento de rede. As autoridades americanas culpam os hackers russos pelo ataque que atingiu dezenas de empresas e agências governamentais. A Rússia negou participação.
Correções e reforços
Em uma versão anterior deste artigo, o nome da empresa estava escrito incorretamente como Kasaya no terceiro parágrafo. (Corrigido em 2 de julho)
Escrever para James Rundle em [email protected]
Copyright © 2020 Dow Jones & Company, Inc. Todos os direitos reservados. 87990cbe856818d5eddac44c7b1cdeb8