kaseya-supply-chain-revil-2021

# Kaseya VSA - Ataque à Cadeia de Fornecedores REvil 2021 > [!danger] Maior ataque de ransomware via cadeia de fornecedores da história > Em 2 de julho de 2021, o grupo REvil explorou vulnerabilidades zero-day no software Kaseya VSA para atingir simultaneamente mais de 1.500 empresas em 17 países via provedores de serviços gerenciados (MSPs). O ataque, lançado deliberadamente na véspera do feriado americano de 4 de julho, exigiu um resgate recorde de US$ 70 milhões em Bitcoin - o maior pedido de ransomware da história. ## Visão Geral O ataque Kaseya-REvil de 2021 representa o ápice dos ataques de ransomware via cadeia de fornecedores: em vez de comprometer diretamente cada vítima, o grupo [[s0496-revil|REvil]] (também conhecido como Sodinokibi) explorou vulnerabilidades críticas no software de monitoramento e gerenciamento remoto **Kaseya VSA**, utilizado por centenas de provedores de serviços gerenciados (MSPs) ao redor do mundo. Uma vez dentro dos servidores VSA, o [[s0496-revil]] utilizou o mecanismo legítimo de distribuição de scripts do produto para propagar o ransomware automaticamente para todos os clientes gerenciados pelos MSPs comprometidos. O vetor de entrada foi uma cadeia de vulnerabilidades zero-day ([[cve-2021-30116|CVE-2021-30116]] e outras não públicadas) no Kaseya VSA. O REvil contornou a autenticação do portal web, enviou payloads maliciosos que desativaram ferramentas de segurança via Windows Defender e executaram o ransomware como um processo legítimo do Kaseya. A sofisticação do ataque é notável: o procedimento de desativação de antivírus via linha de comando foi codificado para parecer uma operação legítima do sistema, contornando detecções baseadas em comportamento. O timing foi deliberadamente escolhido para maximizar o impacto: o ataque começou na véspera do feriado de 4 de julho nos EUA, quando equipes de TI estavam reduzidas ou ausentes. Empresas como a rede de supermercados sueca Coop tiveram que fechar centenas de lojas porque seus sistemas de caixas registradores - gerenciados por um MSP afetado - pararam de funcionar completamente. No total, entre 800 e 1.500 empresas em pelo menos 17 países foram afetadas, embora a maioria via MSPs intermediários e não diretamente. O FBI obteve a chave de descriptografia universal mas retardou seu compartilhamento público por semanas enquanto planejava operações contra a infraestrutura do REvil. Em julho de 2021, o REvil desapareceu da internet, provavelmente devido à pressão diplomática após o presidente Biden pressionar Putin diretamente sobre o tema. A chave universal foi finalmente compartilhada com a Kaseya em 21 de julho de 2021. ## Attack Flow ```mermaid graph TB A["Zero-Day Kaseya VSA CVE-2021-30116: bypass auth Portal web exposto porta 443"] --> B["Upload de payload malicioso Agente Kaseya como veículo Script executado como SYSTEM"] B --> C["Desativação de segurança Windows Defender desativado via linha de comando legítima"] C --> D["REvil Ransomware Executado via processo legítimo AgentMon.exe"] D --> E["Propagação MSP para Clientes VSA distribuiu para todos endpoints gerenciados"] E --> F["Criptografia massiva Arquivos bloqueados em 1.500+ empresas em 17 países"] F --> G["Resgate US$ 70 milhões Maior demanda ransomware da história em Bitcoin"] ``` ## Cronologia | Data | Evento | |------|--------| | 2021-07-02 14h EDT | REvil começa a explorar VSA via zero-day na véspera do feriado | | 2021-07-02 17h EDT | Kaseya detecta incidente e desliga servidores SaaS cloud | | 2021-07-02 noite | Coop Suécia fecha 500+ supermercados com caixas inoperantes | | 2021-07-03 | REvil reivindica o ataque no Happy Blog - exige US$ 70M para descriptografador universal | | 2021-07-05 | Biden contata Putin; pressão diplomática internacional sobre a Rússia | | 2021-07-13 | REvil desaparece da internet - domínios e infraestrutura ficam offline | | 2021-07-21 | Kaseya recebe chave universal de descriptografia e repassa às vítimas | | 2021-10 | Operação internacional prende afiliados REvil na Europa | | 2022-01 | FSB russo prende 14 membros do REvil em resposta à pressão americana | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Zero-day no Kaseya VSA para comprometer MSPs e clientes em cascata | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2021-30116: bypass de autenticação no portal web VSA | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação do Windows Defender via linha de comando legítima | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia massiva de arquivos com demanda de resgate recorde | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de agentes VSA legítimos para distribuir e executar payloads | ## Impacto O ataque Kaseya-REvil afetou entre 800 e 1.500 organizações em pelo menos 17 países, com impacto concentrado em clientes de MSPs que utilizavam o Kaseya VSA: **Vítimas confirmadas:** - Coop Suécia - 500 a 800 supermercados fechados; sistemas de caixa offline - Jernhusen (ferroviária sueca) - sistemas de bilheteria comprometidos - Apotek Hjärtat (rede de farmácias suecas) - caixas inativos - Escolas públicas no estado de Maryland (EUA) - Centenas de MSPs afetados nos EUA, Alemanha, Holanda e Reino Unido **Escala financeira:** - US$ 70 milhões: maior pedido de resgate da história do ransomware até aquela data - 60+ clientes MSP diretos da Kaseya afetados - Estimativa de 1.000 a 1.500 empresas-clientes finais comprometidas via MSPs **Impacto geopolítico:** - Primeiro ataque de ransomware a provocar telefonema direto entre presidentes dos EUA e Rússia - Acelerou conversações internacionais sobre atribuição e sanções a grupos de ransomware russos - O desaparecimento do REvil foi interpretado como consequência da pressão diplomática americana ## Relevância LATAM e Brasil O Brasil e a América Latina foram afetados indiretamente pelo ataque Kaseya-REvil: - MSPs brasileiros que utilizavam o Kaseya VSA para gerenciar infraestrutura de clientes estiveram expostos ao risco durante a janela do ataque - O modelo de ataque via MSP é altamente relevante para o Brasil, onde a terceirização de TI para pequenas e médias empresas é prevalente no [[technology|setor de tecnologia]] - Empresas brasileiras com filiais multinacionais que usavam MSPs afetados na Europa ou EUA tiveram serviços interrompidos por conexão com ambientes comprometidos - O caso acelerou a conscientização do [[financial|setor financeiro]] e de reguladores brasileiros sobre riscos de cadeia de fornecedores de software de gestão remota **Lição crítica para LATAM:** A dependência de ferramentas de gestão remota como vetor de ataque é particularmente relevante para mercados onde MSPs atendem empresas de médio porte sem times de segurança dedicados. ## Mitigação **Controles técnicos imediatos:** - Não expor interfaces de administração VSA ou ferramentas RMM similares à internet pública - Segmentar redes de MSPs das redes de clientes com firewalls dedicados e VLAN isolada - Monitorar execução anômala de processos assinados por fornecedores de software de gestão **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - programa formal de gestão de patches para software de terceiros - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA obrigatório para todas as contas de administração de MSP - Usar [[m1018-user-account-management|M1018]] - princípio do menor privilégio para agentes de monitoramento remoto - Monitorar via [[ds-0009-process|DS-0009]] - execução anômala a partir de processos de ferramentas de gestão ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-200b) CISA - Advisory AA21-200B: Kaseya VSA Supply-Chain Ransomware Attack (2021) - [2](https://unit42.paloaltonetworks.com/kaseya-supply-chain-attack/) Unit 42 - Kaseya VSA Supply Chain Attack Technical Analysis (2021) - [3](https://www.mandiant.com/resources/blog/ransomware-kaseya-vsa) Mandiant - REvil/Sodinokibi Ransomware Kaseya Attack (2021) - [4](https://therecord.media/revil-ransomware-group-disappears-after-kaseya-attack) The Record - REvil Group Disappears After Kaseya Attack (2021) - [5](https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/) BleepingComputer - Kaseya Obtains Universal Decryptor (2021) - [6](https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya) DOJ EUA - Ukrainian Arrested for Ransomware Attack on Kaseya (2022) - [7](https://securelist.com/revil-ransomware-attack-analysis/103259/) Kaspersky Securelist - REvil Ransomware Attack Analysis (2021)