Attacco ransomware nei servizi IT di SoftServe: perdita di dati del client

Secondo il rapporto, la nota società di software e servizi IT in Ucraina, “SoftServe” ha subito un attacco ransomware la scorsa settimana. La Società ha già confermato il suo hack e il furto di dati dei propri clienti da parte di hacker. Secondo gli esperti di sicurezza di SoftServe Company, gli aggressori hanno avuto accesso all’infrastruttura aziendale e sono riusciti a eseguire la crittografia del ransomware insieme ad altri malware.

Per coloro che non lo sanno, “SoftServe” è una delle più grandi società in Ucraina che offre sviluppo software e consulenza IT con oltre 8.000 dipendenti e 50 uffici in tutto il mondo. Il 1 ° settembre, la società ha rivelato che gli aggressori hanno avuto accesso all’infrastruttura della società e hanno implementato un ransomware.

Dopo aver rilevato gli attacchi informatici, avevano disattivato alcuni dei loro servizi offline e bloccato le connessioni con la rete dei clienti per proteggere il loro client da questo attacco. La notizia di questo attacco ransomware è stata individuata per la prima volta sul canale “Telegram DC8044 Kyiv Info”, dove la società SoftServe ha notificato ai propri dipendenti l’attacco ransomware in azienda. Diamo un’occhiata alle dichiarazioni.

“Oggi all’una di notte SoftServe è stata oggetto di un attacco informatico. Gli aggressori hanno avuto accesso all’infrastruttura aziendale e sono riusciti a lanciare ransomeware crittografati insieme ad altri malware.

Abbiamo messo offline alcuni dei nostri servizi per fermare la diffusione dell’attacco, purtroppo il tuo lavoro subirà i nostri passaggi di contenimento nelle prossime ore …

Abbiamo anche bloccato i tunnel alle reti dei nostri clienti per evitare la diffusione di malware nella loro infrastruttura “.

Dopo la conferma dell’attacco, SoftServe ha iniziato a disconnettere i propri client per impedirne la diffusione. Da allora, le conseguenze più significative dell’attacco sono la perdita temporanea di funzionalità di una parte del sistema di posta e l’arresto di alcuni ambienti di test ausiliari. Tuttavia, altri sistemi o dati dei clienti non sono stati interessati.

Al momento, SoftServe Company ha isolato alcuni segmenti della propria rete e limitato le comunicazioni con le reti client per evitare la diffusione di questo attacco. L’azienda sta attualmente indagando sull’attacco e informando i propri clienti. Adriyan Pavlikevich, Senior Vice President of IT presso SoftServe, ha detto ad AIN.

“Se disponi di informazioni di prima mano su questo o altri attacchi informatici non segnalati, puoi contattarci in via confidenziale su Signal al +16469613731.”

Secondo i ricercatori sulla sicurezza, l’attacco ransomware nella società SoftServe aggiunge l’estensione “.softs3rve555 – ***” ai nomi dei file crittografati. D’altra parte, il modello di estensione file utilizzato da questo attacco ransomware corrisponde a “Defray Ransomware” o “RansomEXX” che è stato recentemente utilizzato contro Konica Minolta, un gigante della tecnologia aziendale. La società ha inoltre condiviso l’attacco al canale “DC8044 Telegram” che i file zip importanti per i progetti che sostengono di essere per Toyota, Panasonic, IBM, CISCO, ADT, WorldPay e altri, sarebbero stati rubati durante questo attacco ransomware.

“Rainmeter” è un autentico strumento di personalizzazione di Windows che carica un Rainmeter.dll quando viene eseguito. Durante l’attacco ransomware nella società SoftServe, i criminali informatici hanno sostituito questo file legittimo “Rainmeter.dll” con una versione dannosa conforme al codice sorgente per distribuire il ransomware. È difficile rilevare questo attacco da parte di qualsiasi virus antivirus perché il caricamento di DLL dannose da un file exe legittimo utilizza strumenti aggiuntivi come Powershell, CobaltStrike Beacon e così via.

Stiamo effettuando ricerche in dettaglio sull’argomento “SoftServe colpito da ransomware” e pubblicheremo sicuramente un aggiornamento, se arriverà in futuro. Se hai suggerimenti o domande in merito, scrivi nella casella dei commenti riportata di seguito.