Une attaque de ransomware contre une entreprise ukrainienne a entraîné le vol de code source de clients

L’une des plus grandes entreprises ukrainiennes, Softserve a subi une énorme attaque de ransomware le 1er septembre. Selon les rapports, cette attaque a entraîné le vol du code source des clients de la société de développement de logiciels et de conseil en informatique.

La chaîne «Telegram DС8044 Kyiv Info» a été la première à diffuser les informations sur la cyberattaque sur SoftServe. Un message présumé envoyé par l’entreprise aux employés se lit comme suit:

«Aujourd’hui, à 1h du matin, SoftServe a subi une cyberattaque. Les attaquants ont eu accès à l’infrastructure de l’entreprise et ont réussi à lancer un ransomeware de chiffrement ainsi que d’autres logiciels malveillants.

Nous avons mis certains de nos services hors ligne pour arrêter la propagation des attaques, malheureusement votre travail souffrira de nos mesures de confinement dans les heures à venir …

Nous avons également bloqué les tunnels vers les réseaux de nos clients pour éviter la propagation de logiciels malveillants dans leur infrastructure. « 

Par la suite, dans la déclaration au site d’information Ukrainian Technology, SoftServe a confirmé l’attaque qui les avait amenés à déconnecter leurs clients pour empêcher sa propagation:

«Oui, il y a eu une attaque aujourd’hui. Les conséquences les plus importantes de l’attaque sont la perte temporaire de fonctionnalités d’une partie du système de messagerie et l’arrêt de certains des environnements de test auxiliaires. D’après ce que nous pouvons estimer, c’est le plus grand impact de l’attaque, et les autres systèmes ou données clients n’ont pas été affectés.

Adriyan Pavlikervich, vice-président principal de l’informatique chez SoftServe, a déclaré à AIN: «Pour éviter la propagation de l’attaque, nous avons isolé certains segments de notre réseau et restreint la communication avec les réseaux clients. Nous préparons un message à nos clients sur la situation. la reprise des services, nous enquêtons sur l’incident lui-même, nous ne sommes donc pas prêts à dire qui a exactement fait cela.

 Un rapport d’incident du chercheur de MalwareHunterrTeam confirme cette attaque. Selon le rapport, ce ransomware ajoute l’extension « * .s0fts3rve555 – *** (comme s0fts3rve555-76e9b8bf) » aux fichiers cryptés. Ce modèle d’ajout correspond à celui utilisé par Defray ransomware, également connu sous le nom de RansomEXX, cependant, il n’y a pas de confirmation exacte à ce sujet, les deux sont identiques.

Le rapport indique également l’heure à laquelle l’attaque s’est produite. Selon lui, c’est entre 2h00 et 9h00 que le script Powershell a utilisé pour trouver les fichiers modifiés lors de l’attaque.

La chaîne DС8044 Telegram a partagé un post plus tard, y compris le lien des référentiels de code source prétendument volés lors de l’attaque. Les fichiers zip concernent les projets prétendant être pour Toyota, Panasonic, IBM, Cisco, ADT, WorldPay, etc. Cependant, il reste à confirmer si ces données appartiennent au SoftServe.

Le rapport d’incident de SoftServe indique que les attaquants pourraient exploiter des vulnérabilités de détournement de DLL dans l’application Rainmeter légitime. Cette application est un outil de personnalisation Windows légitime qui charge Rainmeter.dll lors de son lancement. Les attaquants pourraient remplacer ce fichier .dll par une version malveillante pour déployer le ransomware malveillant.

Le rapport d’incident de SoftServe indique: «DLL de ransomware distribuée (Rainmeter.dll) compilée à partir de legitime Rainmeter – un outil de personnalisation de bureau pour Windows. Chargement de DLL malveillants à partir de legitime EXE (méthode de cyberattaque populaire utilisée par DLL à chargement latéral) à l’aide d’instruments supplémentaires comme CobaltStrike Beacon, PowerShell, etc. Une telle technique est difficile à détecter par un antivirus pour le moment. « 

Le rapport indique également qu’il existe des preuves que les acteurs de la menace tentent de fournir le ransomware aux secteurs de la santé et de l’éducation à l’aide de PyXie -a Remote Access Trojan. D’après le BlackBerry, rapport 2019, pyxie est un exploit bien connu des vulnérabilités de détournement de DLL.