Atak ransomware na ukraińską firmę doprowadził do kradzieży kodu źródłowego klientów

Jedna z największych firm na Ukrainie, Softserve, doznała ogromnego ataku oprogramowania ransomware 1 września. Według doniesień atak ten doprowadził do kradzieży kodu źródłowego klientów firmy zajmującej się tworzeniem oprogramowania i konsultingiem IT.

Kanał „Telegram DС8044 Kyiv Info” jako pierwszy rozpowszechnił informacje o cyberataku na SoftServe. Domniemana wiadomość wysłana przez firmę do pracowników brzmi:

„Dziś o 1 w nocy SoftServe padł ofiarą cyberataku. Atakujący uzyskali dostęp do infrastruktury firmy i zdołali uruchomić szyfrujące oprogramowanie ransomeware wraz z innym złośliwym oprogramowaniem.

Przenieśliśmy niektóre z naszych usług do trybu offline, aby zatrzymać rozprzestrzenianie się ataków, niestety w nadchodzących godzinach Twoja praca będzie cierpieć z powodu naszych kroków powstrzymywania …

Zablokowaliśmy również tunele do sieci naszych klientów, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania do ich infrastruktury ”.

Następnie w oświadczeniu dla ukraińskiego serwisu informacyjnego o technologii firma SoftServe potwierdziła atak, który spowodował odłączenie klientów, aby zapobiec jego rozprzestrzenianiu:

„Tak, dzisiaj był atak. Najważniejsze konsekwencje ataku to chwilowa utrata funkcjonalności części systemu pocztowego oraz zatrzymanie niektórych pomocniczych środowisk testowych. O ile możemy oszacować, jest to największy wpływ ataku, a inne systemy lub dane klientów nie zostały dotknięte. ”

Adriyan Pavlikervich, starszy wiceprezes IT w SoftServe, powiedział AIN: „Aby uniknąć rozprzestrzeniania się ataku, wyodrębniliśmy niektóre segmenty naszej sieci i ograniczyliśmy komunikację z sieciami klientów. Przygotowujemy wiadomość dla naszych klientów o zaistniałej sytuacji. Jednocześnie z wznowienie usług, badamy sam incydent, więc nie jesteśmy gotowi do komentowania, kto dokładnie to zrobił.

 Raport incydentu od badacza z MalwareHunterrTeam potwierdza ten atak. Zgodnie z raportem, to oprogramowanie ransomware dodaje rozszerzenie „* .s0fts3rve555 – *** (jak s0fts3rve555-76e9b8bf)” do zaszyfrowanych plików. Ten dołączany wzorzec pasuje do tego używanego przez oprogramowanie ransomware Defray, znane również jako RansomEXX, jednak nie ma dokładnego potwierdzenia, że ​​oba są takie same.

Raport podaje również czas, w którym nastąpił atak. Zgodnie z nim, między 2 w nocy a 9 rano wskazany przez skrypt Powershell używany do znajdowania plików, które zostały zmienione podczas ataku.

Kanał DС8044 Telegram udostępnił później post, w tym odsyłacz do repozytoriów kodu źródłowego rzekomo skradzionych podczas ataku. Pliki zip są przeznaczone dla projektów, które rzekomo dotyczą firm Toyota, Panasonic, IBM, Cisco, ADT, WorldPay i innych. Jednak nie zostało jeszcze potwierdzone, czy te dane należą do SoftServe.

Raport o incydencie z SoftServe mówi, że osoby atakujące mogą wykorzystać luki w zabezpieczeniach przejmujących bibliotekę DLL w legalnej aplikacji Rainmeter. Ta aplikacja to sprawdzone narzędzie do dostosowywania systemu Windows, które po uruchomieniu ładuje plik Rainmeter.dll. Osoby atakujące mogą zastąpić ten plik .dll złośliwą wersją, aby wdrożyć złośliwe oprogramowanie ransomware.

Raport o incydencie SoftServe mówi: „Distributed ransomware DLL (Rainmeter.dll) skompilowane z legitime Rainmeter – narzędzia do dostosowywania pulpitu dla systemu Windows. Złośliwe ładowanie DLL z legitime EXE (używanego z bocznego ładowania DLL metody cyberataku) przy użyciu dodatkowych instrumentów, takich jak CobaltStrike Beacon, PowerShell itp. Jak dotąd żaden program antywirusowy nie wykrywa takiej techniki ”.

W raporcie stwierdza się również, że istnieją dowody na to, że podmioty stanowiące zagrożenie próbowały dostarczyć oprogramowanie ransomware do sektora opieki zdrowotnej i edukacji przy użyciu trojana PyXie -a zdalnego dostępu. Z raportu BlackBerry 2019, pyxie to dobrze znana luka w zabezpieczeniach wykorzystująca luki w zabezpieczeniach DLL.