O software de gestão de TI Kaseya, normalmente utilizado em ambientes MSP (“Managed Service Provider”), foi atingido por um ciberataque consistindo numa série de hacks a servidores afetados. Tal como no incidente passado SolarWinds, este ataque usa um processo de transmissão de malware em dois passos, mas difere no objetivo: em vez de ciberespionagem, os cibercriminosos por detrás deste novo ataque aparentam ter ganhos monetários em vista, implantando ransomware enquanto tiram partido da relação de confiança entre Kaseya e os seus clientes.
Os investigadores da ESET estão a monitorizar este ransomware, que segundo a sua análise preliminar é atribuído ao grupo REvil. O malware deste grupo é detetado pelos produtos de segurança da ESET como Sodinokibi.
Quando um servidor é infetado no contexto deste ataque, o malware desativa o acesso administrativo e começa a encriptar dados. Quando o processo de encriptação termina, é criada uma nota de resgate com instruções para recuperar os dados, que passam por comprar um software de desencriptação aos atacantes com Monero.
Embora fabricantes como a ESET detetem este malware, em alguns casos houve um intervalo de tempo entre os servidores serem atingidos pelo ataque e as equipas de suporte reagirem, resultando em infeções iniciais terem tempo para causarem danos.
A ESET recomenda desligar máquinas potencialmente vulneráveis, ou pelo menos isolá-las da rede até mais informações estarem disponíveis. A Kaseya também está a publicar atualizações periódicas no seu website. Leia o artigo completo da ESET sobre o ataque aqui.