Visão Geral

Este artigo discutirá informações relacionadas ao ataque de ransomware na cadeia de suprimentos do Kaseya VSA e as etapas que a Cato tomou para garantir que nossos clientes permaneçam protegidos.

A partir de 7 de julho de 2021, todos os IOCs conhecidos em relação ao ataque de Ransomware do Kaseya VSA foram implementados na Plataforma de Inteligência de Ameaças da Cato. Qualquer tráfego que corresponda a este perfil (ou similar) será ativamente bloqueado pelo nosso IPS.

Antecedentes

A partir de 3 de julho de 2021, múltiplas organizações e Provedores de Serviços Gerenciados (MSPs) foram alvo do Ransomware REvil (também conhecido como Sodinokibi). Isso foi realizado em um ataque à cadeia de suprimentos focado no software Kaseya VSA. Este ataque levou a Kaseya a instar os clientes a desligarem seus servidores VSA para evitar que sejam comprometidos.

REvil (frequentemente detectado por sistemas de proteção contra ameaças como Ransom.Sodinokibi) é uma família de ransomware usada em ataques direcionados. Os atacantes tentarão criptografar todos os computadores na rede da vítima, impedindo o acesso aos arquivos ou dados a menos que uma grande quantia de dinheiro seja paga.

Impacto

Uma vez que o computador alvo tenha sido infectado com o ransomware Sodinokibi, o acesso administrativo é desativado e o código malicioso começará a criptografar dados. Este é o passo inicial antes que o 'resgate' seja exigido.

Uma vez que o processo de criptografia é concluído, o papel de parede da área de trabalho do sistema é definido para uma imagem indicando que "Todos os seus arquivos estão criptografados", com um link para um arquivo readme detalhando como restaurar o acesso à máquina.  Cada máquina infectada é criptografada com uma Chave Privada única para aquele host, que é usada no processo de decodificação do ransomware. Esta tática garante que a recuperação de dados usando meios tradicionais incorra em um elemento de corrupção da chave privada e perda permanente de dados.

No caso de uma máquina ser infectada com este ransomware, os dados não serão acessíveis (ou extraíveis) do dispositivo, a menos que um resgate tenha sido pago.

O que a Cato está fazendo?

Os Analistas de Segurança da Cato Networks estão trabalhando incansavelmente para identificar, localizar e mitigar qualquer potencial vulnerabilidade ou exposição que nossos clientes possam ter a essa ameaça. 

• Após usar uma análise forense dos perfis de tráfego dos Clientes da Cato, identificamos vários clientes que atualmente usam produtos Kaseya. 
• Nossa análise preliminar não mostra evidências de infecção em nossa base de clientes. Isso é baseado nos Indicadores de Comprometimento (IOC) publicados na natureza relacionados ao ataque).
• Cato Networks adicionou todos os IOCs relacionados a este ataque à nossa Plataforma de Inteligência de Ameaças. Isso garantirá que qualquer tráfego deste tipo será bloqueado pelo nosso IPS. 
• Recomenda-se que qualquer cliente que use produtos Kaseya siga o aconselhamento contínuo da Kaseya.

Esta situação está atualmente evoluindo dentro do cenário de TI, e a Cato Networks está monitorando e investigando ativamente a situação para garantir que nossos clientes permaneçam protegidos.