Ransomware-Angriff in SoftServe-IT-Diensten: Clientdaten verloren

Laut einem Bericht des bekannten Software- und IT-Dienstleistungsunternehmens in der Ukraine hat „SoftServe“ letzte Woche einen Ransomware-Angriff erlitten. Das Unternehmen hat bereits bestätigt, dass Hacker Hacker und Daten von Kunden gestohlen haben. Laut Sicherheitsexperten der SoftServe Company haben Angreifer Zugriff auf die Unternehmensinfrastruktur erhalten und es geschafft, verschlüsselte Ransomware zusammen mit anderer Malware auszuführen.

Für diejenigen, die es nicht wissen, ist „SoftServe“ eines der größten Unternehmen in der Ukraine, das Softwareentwicklung und IT-Beratung mit über 8.000 Mitarbeitern und 50 Niederlassungen weltweit anbietet. Am 1. September gab das Unternehmen bekannt, dass Angreifer auf die Infrastruktur des Unternehmens zugegriffen und eine Ransomware bereitgestellt haben.

Nachdem sie die Cyber-Angriffe erkannt hatten, hatten sie einige ihrer Dienste offline eingestellt und die Verbindungen zum Client-Netzwerk blockiert, um ihren Client vor diesem Angriff zu schützen. Die Nachrichten über diesen Ransomware-Angriff wurden erstmals auf dem Kanal „Telegram DC8044 Kyiv Info“ veröffentlicht, auf dem die SoftServe Company ihre Mitarbeiter über Ransomware-Angriffe im Unternehmen informierte. Werfen wir einen Blick auf die Aussagen.

„Heute um 1 Uhr morgens wurde SoftServe im Internet angegriffen. Angreifer erhielten Zugriff auf die Unternehmensinfrastruktur und konnten zusammen mit anderer Malware verschlüsselte Ransomeware starten.

Wir haben einige unserer Dienste offline geschaltet, um die Ausbreitung von Angriffen zu stoppen. Leider wird Ihre Arbeit in den kommenden Stunden unter unseren Eindämmungsschritten leiden …

Wir haben auch Tunnel zu den Netzwerken unserer Kunden blockiert, um die Verbreitung von Malware in ihrer Infrastruktur zu vermeiden. “

Nach der Bestätigung eines Angriffs wurde SoftServe gestartet, um die Verbindung zu den Clients zu trennen. Die wichtigsten Folgen eines Angriffs sind der vorübergehende Funktionsverlust eines Teils des Mail-Systems und das Anhalten einiger zusätzlicher Testumgebungen. Andere Systeme oder Kundendaten waren jedoch nicht betroffen.

Derzeit hat die SoftServe Company einige Segmente ihres Netzwerks isoliert und die Kommunikation mit Client-Netzwerken eingeschränkt, um die Ausbreitung dieses Angriffs zu verhindern. Das Unternehmen untersucht derzeit den Angriff und informiert seine Kunden. Adriyan Pavlikevich, Senior Vice President IT bei SoftServe, sagte gegenüber AIN.

„Wenn Sie Informationen aus erster Hand über diesen oder andere nicht gemeldete Cyberangriffe haben, können Sie uns unter Signal unter +16469613731 vertraulich kontaktieren.“

Laut Sicherheitsforschern hängen Ransomware-Angriffe in SoftServe Company die Erweiterung „.softs3rve555 – ***“ an die Namen verschlüsselter Dateien an. Andererseits stimmt das für diesen Ransomware-Angriff verwendete Dateierweiterungsmuster mit „Defray Ransomware“ oder „RansomEXX“ überein, das kürzlich gegen Konica Minolta, einen Business Technology Giant, verwendet wurde. Das Unternehmen teilte ferner über den Angriff auf den Kanal „DC8044 Telegram“ mit, dass die wichtigen Zip-Dateien für Projekte, die angeblich für Toyota, Panasonic, IBM, CISCO, ADT, WorldPay und andere bestimmt sind, während dieses Ransomware-Angriffs gestohlen wurden.

„Rainmeter“ ist ein echtes Windows-Anpassungstool, das bei Ausführung eine Rainmeter.dll lädt. Während eines Ransomware-Angriffs in SoftServe Company ersetzten Cyberkriminelle diese legitime Datei „Rainmeter.dll“ durch eine schädliche Version aus dem Quellcode, um die Ransomware bereitzustellen. Es ist schwierig, diesen Angriff durch ein Antiviren-Virus zu erkennen, da böswillige DLLs von legitimen Exe mit zusätzlichen Instrumenten wie Powershell, CobaltStrike Beacon usw. geladen werden.

Wir recherchieren ausführlich über die Angelegenheit „SoftServe von Ransomware getroffen“ und werden auf jeden Fall ein Update veröffentlichen, falls es in Zukunft erscheinen wird. Wenn Sie diesbezüglich Vorschläge oder Fragen haben, schreiben Sie bitte in das unten stehende Kommentarfeld.