# Kaseya REvil Attack 2021 > [!critical] O maior ataque ransomware via cadeia de suprimentos até 2021 > Em 2 de julho de 2021, o grupo REvil explorou zero-days no software Kaseya VSA para distribuir ransomware a mais de 1.500 empresas em 17 paises através de seus provedores de servicos gerenciados (MSPs). O resgaté inicial exigido foi de $70 milhões. ## Visão Geral O ataque a Kaseya representa o auge da estratégia de ransomware via cadeia de suprimentos: ao comprometer o software de gerenciamento remoto Kaseya VSA, usado por dezenas de Managed Service Providers (MSPs), o grupo [[s0496-revil]] (também chamado REvil/Sodinokibi, operado pelo [[g0115-gold-southfield]]) conseguiu um efeito multiplicador sem precedentes, atingindo simultaneamente clientes dos clientes de Kaseya. A escolha do dia 2 de julho nao foi acidental: a vespera de um feriado americano (4 de julho) garantia equipes de TI reduzidas, jánelas de resposta mais lentas e maxima penetracao antes de qualquer reacao coordenada. O ataque afetou mais de 1.500 empresas em 17 paises, com impactos espetaculares como o fechamento de 800 lojas da rede de supermercados Coop na Suecia, que nao conseguia processar pagamentos. Para o ecossistema de MSPs no Brasil e na América Latina - onde o modelo de servicos gerenciados e predominante em PMEs - este caso representa referência critica: o comprometimento de um MSP pode cascatear para dezenas ou centenas de clientes finais de forma instantanea. ## Como o Ataque Aconteceu ```mermaid graph TB A["Zero-days em Kaseya VSA<br/>CVE-2021-30116 - Auth bypass + injecao SQL"] --> B["Exploração de servidores VSA<br/>Expostos na internet - 2 Jul 2021"] B --> C["Upload de hotfix malicioso<br/>Kaseya VSA Agent Hot-fix"] C --> D["Distribuição automatica<br/>Para todos os endpoints gerenciados"] D --> E["Desativacao do Windows Defender<br/>PowerShell elevado"] E --> F["DLL sideloading<br/>MsMpEng.exe + mpsvc.dll (REvil)"] F --> G["Criptografia em massa<br/>1.500+ empresas em 17 paises"] G --> H["Demanda de resgaté<br/>$70M universal ou negociacao individual"] ``` **Mecanismo tecnico detalhado:** 1. Servidores VSA vulneraveis foram explorados via bypass de autenticação (CVE-2021-30116) 2. Um procedimento denominado "Kaseya VSA Agent Hot-fix" foi criado e executado nos endpoints gerenciados 3. O PowerShell desabilitou protecoes do Windows Defender e decodificou o payload via `certutil` 4. O payload final usou DLL sideloading: `MsMpEng.exe` (executavel legitimo do Defender) carregou `mpsvc.dll` malicioso (Sodinokibi/REvil) 5. O encryptor criou a chave de registro `HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter` para armazenar parametros de runtime 6. Arquivos foram criptografados usando algoritmo de stream Salsa20 com chaves EC protegidas pelos operadores ## Impacto Global | Metrica | Valor | |---|---| | Empresas afetadas | ~1.500 em 17 paises | | MSPs diretamente comprometidos | ~60 clientes diretos da Kaseya | | Resgaté exigido (inicial) | $70 milhões (decryptor universal) | | Resgaté exigido (individual) | $40.000 a $220.000 por empresa | | Data de obtencao do decryptor | 21 de julho de 2021 | | Lojas Coop (Suecia) fechadas | ~800 lojas por quase 1 semana | **Setores afetados:** Supermercados (Suecia), kindergartens (Nova Zelandia), administracoes públicas (Romania), hospitais, escritorios de advocacia e contabilidade ## TTPs Documentadas | Fase | Técnica MITRE | Detalhe | |---|---|---| | Initial Access | T1190 - Exploit Public-Facing App | CVE-2021-30116: SQL injection + auth bypass no VSA | | Initial Access | T1195.002 - Supply Chain: Software | Software de gerenciamento como vetor de propagação em massa | | Defense Evasion | T1562.001 - Disable Security Tools | PowerShell desabilitou Windows Defender (real-time, network, cloud) | | Defense Evasion | T1574.002 - DLL Side-Loading | `MsMpEng.exe` carregou `mpsvc.dll` malicioso | | Execution | T1059.001 - PowerShell | Script PS longo executado com privilegios elevados | | Impact | T1486 - Data Encrypted for Impact | Salsa20 + EC para criptografia; volume sombra deletado | ## Resolução e Aftermath O grupo REvil desapareceu da internet em 13 de julho de 2021, possívelmente após pressao de autoridades russas em resposta a demandas americanas. Em 23 de julho, a Kaseya anunciou a obtencao de uma chave de descriptografia universal de uma "terceira parte confiavel" (reportada como FBI/governo americano). Em outubro de 2021, o DOJ americano indiciou dois suspeitos: Yaroslav Vasinskyi (ucraniano) e Yevgeniy Polyanin (russo), com Vasinskyi sendo extraditado e condenado em 2024 a mais de 13 anos de prisao. > [!latam] Relevância para MSPs no Brasil > O modelo de MSP e extremamente comum no mercado brasileiro, com milhares de pequenas e medias empresas dependendo de provedores que usam ferramentas similares ao Kaseya VSA (ConnectWise, N-able, etc.). Um ataque equivalente poderia cascatear instantaneamente para centenas de PMEs brasileiras sem equipes de segurança dedicadas. ## Indicadores de Comprometimento > [!ioc]- IOCs - Kaseya REvil Attack 2021 (TLP:GREEN) > **Hashes (MD5):** > `939aae3cc456de8964cb182c75a5f8cc` - agent.crt (payload codificado) > `561cffbaba71a6e8cc1cdceda990ead4` - agent.exe (payload decodificado) > `a47cf00aedf769d60d58bfe00c0b5421` - mpsvc.dll (encryptor REvil) > > **IPs C2 historicos:** > `18[.]223[.]199[.]234` > `161[.]35[.]239[.]148` > `193[.]204[.]114[.]232` > > **Registro criado pelo malware:** > `HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter` > > **Caminhos de arquivo:** > `c:\kworking\agent.crt` > `c:\kworking\agent.exe` > `c:\Windows\MsMpEng.exe` (Defender legítimo abusado) > `c:\Windows\mpsvc.dll` (payload malicioso) > > **Fontes:** [Varonis](https://www.varonis.com/blog/revil-msp-supply-chain-attack) - [SecPod](https://www.secpod.com/blog/kaseya-vsa-zero-day-by-revil/) - [CISA/FBI Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories) ## Detecao e Defesa **Para MSPs e clientes de MSP:** - Auditar e restringir acesso a internet de servidores VSA (Kaseya, ConnectWise, N-able) - Verificar integridade de atualizacoes antes de distribuir a endpoints gerenciados - Implementar lista de permissoes de aplicativos (application whitelisting) para bloquear DLL sideloading - Monitorar criação de chaves de registro incomuns (`BlackLivesMatter` e padroes similares) - Backups imutaveis e offline para todos os clientes gerenciados **Detectar REvil ativo:** - Monitorar `certutil` decodificando arquivos via linha de comando - Alertas para `MsMpEng.exe` carregando DLLs nao assinadas - Volume Shadow Copy deletado via `vssadmin` ou WMI ## Referências - [1](https://en.wikipedia.org/wiki/Kaseya_VSA_ransomware_attack) Wikipedia - Kaseya VSA Ransomware Attack (2021) - [2](https://www.varonis.com/blog/revil-msp-supply-chain-attack) Varonis - REvil Ransomware Attack on Kaseya VSA (2021) - [3](https://www.secpod.com/blog/kaseya-vsa-zero-day-by-revil/) SecPod - Kaseya VSA REvil Ransomware Attack (2021) - [4](https://blog.qualys.com/product-tech/2021/07/08/kaseya-revil-ransomware-attack-CVE-2021-30116-automatically-discover-and-prioritize-using-qualys-vmdr) Qualys Blog - Kaseya REvil CVE-2021-30116 (2021) - [5](https://www.dni.gov/files/NCSC/documents/SafeguardingOurFuture/Kaseya%20VSA%20Supply%20Chain%20Ransomware%20Attack.pdf) ODNI/NCSC - Kaseya VSA Supply Chain Ransomware Attack (2021)