O grupo hacker REvil assumiu a autoria do ataque à companhia Kaseya que afetou mais de mil empresas em todo o mundo e levou a uma investigação por agências de inteligência dos EUA. Os criminosos pedem um resgate de US$ 70 milhões (R$ 361 milhões na conversão direta) em Bitcoin para publicar um descriptografador universal público que desbloqueará todos os computadores afetados.

Segundo o site The Record, o REvil publicou uma mensagem em um blog na Dark Web clamando a responsabilidade pelo ataque. A gangue de ransomware, que já aparecia como a principal suspeita antes de autoconfirmar o ataque, alega que mais de um milhão de sistemas foram infectados. A Kaseya relatou o ataque na sexta-feira passada (2).

O REvil, também conhecido como Sodinokibi, é uma gangue cibercriminosa que vem ganhando fama nos últimos tempos graças a malwares altamente sofisticados e com alto poder de infecção em máquinas. O grupo hacker já usou ransomware para perseguir grandes empresas, incluindo Apple, Acer e mais recentemente a JBS, maior companhia de processamento de carnes do mundo. A JBS pagou US$ 11 milhões (R$ 56 milhões) em Bitcoin para minimizar as consequências do ataque e proteger seus dados.

Dana Liedholm, porta-voz da Kaseya, disse ao Gizmodo nesta segunda-feira (5) que, apesar do FBI e outros grupos independentes voltados para segurança de dados terem confirmado o REvil pela autoria do ranswomare, a empresa não pretende comentar o assunto. “Em relação ao resgate, não estamos comentando sobre isso, pois é uma investigação criminal e não podemos no momento”, afirmou.

Kaseya promete corrigir o problema

O ataque da Kaseya usou um ransomware à cadeia de suprimentos de software da empresa, em que uma ameaça cibernética se infiltra na rede de um fornecedor e envia código malicioso para comprometer o sistema antes que seja enviado aos clientes. O software infectado então afeta os dados ou sistemas dos consumidores. Os hackers que visaram o software da SolarWinds usaram esse tipo de ataque para se infiltrar nas principais agências e corporações federais dos EUA.

A Kaseya, por sua vez, vende seus produtos para provedores de serviços gerenciados — os chamados MSPs —, que são empresas que fornecem plataformas remotas de TI para centenas de negócios menores que não têm os recursos para assumir essas funções por si mesmas. Os MSPs usam a plataforma de nuvem VSA da Kaseya para gerenciar e enviar atualizações de software para essas companhias, bem como resolver outros problemas.

Assine a newsletter do Gizmodo

No caso da Kaseya, os relatórios iniciais afirmam que o REvil obteve acesso à infraestrutura de back-end e a usou para enviar uma atualização com malware para servidores VSA em execução nas instalações do cliente. O update malicioso instalou o ransomware do servidor VSA em todos os computadores conectados. Isso, por sua vez, espalhou o malware para outras empresas que estavam conectadas aos sistemas VSA. No entanto, os detalhes do ataque ainda são incertos.

Também nesta segunda-feira, a Kaseya disse que todos os servidores VSA locais devem continuar offline até que os clientes recebam instruções sobre quando é seguro restaurar as operações. No domingo, o CEO da Kaseya, Fred Voccola, declarou que sua companhia já sabe como ocorreu o ataque e que os problemas já estão sendo corrigidos. Tudo para não pagar o resgate milionário de US$ 70 milhões em Bitcoin cobrada pelos hackers.