Atak ransomware w usługach IT SoftServe: wyciek danych klienta

Według raportu znanej ukraińskiej firmy zajmującej się oprogramowaniem i usługami IT, „SoftServe” padł ofiarą ataku ransomware w zeszłym tygodniu. Firma już potwierdziła swoje włamania i kradzież danych swoich klientów przez hakerów. Według ekspertów ds. Bezpieczeństwa z firmy SoftServe, napastnicy uzyskali dostęp do infrastruktury firmy i zdołali wykonać szyfrujące oprogramowanie ransomware wraz z innym złośliwym oprogramowaniem.

Dla tych, którzy nie są świadomi, „SoftServe” jest jedną z największych firm na Ukrainie, oferującą rozwój oprogramowania i doradztwo IT z ponad 8 000 pracowników i 50 biurami na całym świecie. 1 września firma ujawniła, że ​​osoby atakujące uzyskały dostęp do infrastruktury firmy i wdrożyły oprogramowanie ransomware.

Po wykryciu cyberataków wyłączyli niektóre swoje usługi w trybie offline i zablokowali połączenia z siecią klientów, aby chronić ich przed tym atakiem. Wiadomość o tym ataku ransomware po raz pierwszy pojawiła się na kanale „Telegram DC8044 Kyiv Info”, gdzie firma SoftServe powiadomiła swoich pracowników o ataku ransomware w firmie. Rzućmy okiem na stwierdzenia.

„Dzisiaj o 1 w nocy firma SoftServe została zaatakowana przez cyberprzestępców. Atakujący uzyskali dostęp do infrastruktury firmy i zdołali uruchomić szyfrujące oprogramowanie ransomeware wraz z innym złośliwym oprogramowaniem.

Przenieśliśmy niektóre z naszych usług do trybu offline, aby zatrzymać rozprzestrzenianie się ataków, niestety w nadchodzących godzinach Twoja praca będzie cierpieć z powodu naszych kroków powstrzymywania …

Zablokowaliśmy również tunele do sieci naszych klientów, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania do ich infrastruktury ”.

Po potwierdzeniu ataku, SoftServe zaczęło odłączać swoich klientów, aby zapobiec jego rozprzestrzenianiu się. Ponieważ najbardziej znaczącymi konsekwencjami ataku są chwilowa utrata funkcjonalności części systemu pocztowego i zatrzymanie niektórych pomocniczych środowisk testowych. Jednak nie miało to wpływu na inne systemy ani dane klienta.

W tej chwili firma SoftServe wyodrębniła niektóre segmenty swojej sieci i ograniczyła komunikację z sieciami klientów, aby uniknąć rozprzestrzeniania się tego ataku. Firma prowadzi obecnie dochodzenie w sprawie ataku i informuje swoich klientów. Adriyan Pavlikevich, starszy wiceprezes ds. IT w SoftServe, powiedział AIN.

„Jeśli masz informacje z pierwszej ręki o tym lub innych niezgłoszonych cyberatakach, możesz poufnie skontaktować się z nami pod numerem +16469613731”.

Według analityków bezpieczeństwa, atak Ransomware na firmę SoftServe Company dodaje rozszerzenie „.softs3rve555 – ***” do nazw zaszyfrowanych plików. Z drugiej strony wzorzec rozszerzenia pliku użyty w tym ataku ransomware jest zgodny z „Defray Ransomware” lub „RansomEXX”, który był ostatnio używany przeciwko Konica Minolta a Business Technology Giant. Firma dalej podzieliła się informacjami na temat ataku na kanał „DC8044 Telegram”, że podczas tego ataku ransomware zostały rzekomo skradzione ważne pliki zip dla projektów, które rzekomo dotyczą Toyoty, Panasonic, IBM, CISCO, ADT, WorldPay i innych.

„Rainmeter” to oryginalne narzędzie do dostosowywania systemu Windows, które po uruchomieniu ładuje plik Rainmeter.dll. Podczas ataku ransomware na firmę SoftServe cyberprzestępcy zastąpili ten legalny plik „Rainmeter.dll” złośliwą wersją zgodną z kodem źródłowym w celu wdrożenia oprogramowania ransomware. Trudno jest wykryć ten atak przez jakikolwiek wirus antywirusowy, ponieważ złośliwa biblioteka dll ładuje się z legalnego exe przy użyciu dodatkowych instrumentów, takich jak Powershell, CobaltStrike Beacon i tak dalej.

Szczegółowo badamy sprawę „SoftServe uderzył w oprogramowanie ransomware” i na pewno opublikujemy aktualizację, jeśli pojawi się w przyszłości. Jeśli masz jakieś sugestie lub pytania w tej sprawie, napisz w polu komentarza podanym poniżej.