L’attacco ransomware a una società con sede in Ucraina ha portato al furto del codice sorgente dei clienti

Softserve, una delle più grandi società ucraine, ha subito un enorme attacco ransomware il 1 ° settembre. Secondo i rapporti, questo attacco ha portato al furto del codice sorgente dei clienti della società di sviluppo software e di consulenza IT.

Il canale “Telegram DС8044 Kyiv Info” è stato il primo a far circolare le notizie sull’attacco informatico su SoftServe. Un presunto messaggio inviato dall’azienda ai dipendenti recita:

“Oggi all’una di notte SoftServe è stata oggetto di un attacco informatico. Gli aggressori hanno avuto accesso all’infrastruttura aziendale e sono riusciti a lanciare ransomeware crittografati insieme ad altri malware.

Abbiamo messo offline alcuni dei nostri servizi per fermare la diffusione dell’attacco, purtroppo il tuo lavoro subirà i nostri passaggi di contenimento nelle prossime ore …

Abbiamo anche bloccato i tunnel alle reti dei nostri clienti per evitare la diffusione di malware nella loro infrastruttura “.

Successivamente, nella dichiarazione al sito di notizie di tecnologia ucraina, SoftServe ha confermato l’attacco che ha causato la disconnessione dei propri clienti per impedirne la diffusione:

“Sì, oggi c’è stato un attacco. Le conseguenze più significative dell’attacco sono la perdita temporanea di funzionalità di una parte del sistema di posta e l’arresto di alcuni ambienti di test ausiliari. Per quanto possiamo stimare, questo è il maggiore impatto dell’attacco e altri sistemi o dati dei clienti non sono stati interessati “.

Adriyan Pavlikervich, Senior Vice President of IT di SoftServe ha dichiarato ad AIN: “Per evitare la diffusione dell’attacco, abbiamo isolato alcuni segmenti della nostra rete e limitato la comunicazione con le reti dei clienti. Stiamo preparando un messaggio ai nostri clienti sulla situazione. Contemporaneamente a la ripresa dei servizi, stiamo indagando sull’incidente stesso, quindi non siamo pronti a commentare chi ha fatto esattamente questo.

 Un rapporto sull’incidente del ricercatore di MalwareHunterrTeam conferma questo attacco. Secondo il rapporto, questo ransomware aggiunge l’estensione “* .s0fts3rve555 – *** (come s0fts3rve555-76e9b8bf)” ai file crittografati. Questo modello di aggiunta corrisponde a quello utilizzato da Defray ransomware, noto anche come RansomEXX, tuttavia, non c’è la conferma esatta che entrambi siano uguali.

Il rapporto indica anche l’ora in cui si è verificato l’attacco. Secondo esso, era tra le 2:00 e le 9:00 che è indicato dallo script Powershell utilizzato per trovare i file che sono stati modificati durante l’attacco.

DС8044 Il canale Telegram ha condiviso un post in seguito, incluso il collegamento dei repository del codice sorgente presumibilmente rubati durante l’attacco. I file zip sono per i progetti che affermano di essere per Toyota, Panasonic, IBM, Cisco, ADT, WorldPay e altri. Tuttavia, è ancora da confermare se questi dati appartengono a SoftServe.

Il rapporto sull’incidente di SoftServe afferma che gli aggressori potrebbero sfruttare le vulnerabilità di dirottamento di una DLL nell’applicazione Rainmeter legittima. Questa applicazione è uno strumento di personalizzazione di Windows legittimo che carica Rainmeter.dll all’avvio. Gli aggressori potrebbero sostituire questo file .dll con una versione dannosa per distribuire il ransomware dannoso.

Il rapporto sull’incidente di SoftServe dice: “DLL del ransomware distribuito (Rainmeter.dll) compilato da legitime Rainmeter, uno strumento di personalizzazione del desktop per Windows. Caricamento di DLL dannose da legitime EXE (utilizzato il popolare metodo di attacco informatico con caricamento laterale della DLL) utilizzando strumenti aggiuntivi come CobaltStrike Beacon, PowerShell, ecc. Tale tecnica è difficile da rilevare da qualsiasi antivirus al momento. “

Il rapporto afferma inoltre che esistono prove degli attori delle minacce che tentano di fornire il ransomware alle industrie sanitarie e dell’istruzione utilizzando PyXie, un Trojan di accesso remoto. Dal BlackBerry, report 2019, pyxie è una ben nota vulnerabilità di dirottamento della DLL di exploit.