Ataque de ransomware en los servicios de TI de SoftServe: datos del cliente filtrados

Según el informe, una conocida empresa de software y servicios de TI en Ucrania, «SoftServe» ha sufrido un ataque de ransomware la semana pasada. La Compañía ya ha confirmado sobre su piratería y el robo de datos de sus clientes por parte de piratas informáticos. Los atacantes obtuvieron acceso a la infraestructura de la empresa y lograron ejecutar un ransomware cifrado junto con algún otro malware, según los expertos en seguridad de SoftServe Company.

Para aquellos que no lo saben, «SoftServe» es una de las empresas más grandes de Ucrania que ofrece desarrollo de software y consultoría de TI con más de 8.000 empleados y 50 oficinas en todo el mundo. El 1 de septiembre, la empresa reveló que los atacantes habían accedido a la infraestructura de la empresa y desplegado un ransomware.

Después de detectar los ciberataques, desconectaron algunos de sus servicios y bloquearon las conexiones con la red de los clientes para protegerlos de este ataque. La noticia sobre este ataque de ransomware se vio por primera vez en el canal «Telegram DC8044 Kyiv Info», donde SoftServe Company notificó a sus empleados sobre el ataque de ransomware en la empresa. Echemos un vistazo a las declaraciones.

“Hoy a la 1 de la madrugada, SoftServe fue objeto de un ciberataque. Los atacantes obtuvieron acceso a la infraestructura de la empresa y lograron lanzar ransomeware de cifrado junto con algún otro malware.

Hemos desconectado algunos de nuestros servicios para detener la propagación del ataque, desafortunadamente su trabajo se verá afectado por nuestros pasos de contención en las próximas horas …

También bloqueamos túneles a las redes de nuestros clientes para evitar la propagación de malware a su infraestructura «.

Después de la Confirmación sobre el ataque, SoftServe comenzó a desconectar a sus clientes para evitar su propagación. Desde entonces, las consecuencias más importantes del ataque son la pérdida temporal de funcionalidad de una parte del sistema de correo y la detención de algunos de los entornos de prueba auxiliares. Sin embargo, otros sistemas o datos de clientes no se vieron afectados.

Por el momento, SoftServe Company ha aislado algunos segmentos de su red y restringido las comunicaciones con las redes de los clientes para evitar la propagación de este ataque. Actualmente, la empresa está investigando el ataque e informando a sus clientes. Adriyan Pavlikevich, vicepresidente senior de TI de SoftServe, dijo a AIN.

«Si tiene información de primera mano sobre este u otros ciberataques no denunciados, puede contactarnos de manera confidencial en Signal al +16469613731».

Según los investigadores de seguridad, el ataque de ransomware en SoftServe Company agrega la extensión «.softs3rve555 – ***» a los nombres de los archivos cifrados. Por otro lado, el patrón de extensión de archivo utilizado en este ataque de ransomware coincide con «Defray Ransomware» o «RansomEXX», que se utilizó recientemente contra Konica Minolta, un gigante tecnológico empresarial. La compañía también compartió sobre el ataque al canal «DC8044 Telegram» que los archivos zip importantes para proyectos que dicen ser para Toyota, Panasonic, IBM, CISCO, ADT, WorldPay y más, fueron supuestamente robados durante este ataque de ransomware.

“Rainmeter” es una herramienta de personalización genuina de Windows que carga un Rainmeter.dll cuando se ejecuta. Durante el ataque de ransomware en SoftServe Company, los ciberdelincuentes reemplazaron este archivo legítimo «Rainmeter.dll» con una versión maliciosa obtenida del código fuente para implementar el ransomware. Es difícil detectar este ataque por parte de cualquier virus antivirus porque la dll maliciosa se carga desde un archivo ejecutable legítimo utilizando instrumentos adicionales como Powershell, CobaltStrike Beacon, etc.

Estamos investigando en detalle el tema «SoftServe afectado por Ransomware» y definitivamente publicaremos una actualización, si llega en el futuro. Si tiene alguna sugerencia o consulta al respecto, escriba en el cuadro de comentarios que figura a continuación.