Ataque de ransomware em empresa sediada na Ucrânia levou ao roubo de código-fonte dos clientes

Uma das maiores empresas da Ucrânia, a Softserve sofreu um grande ataque de ransomware em 1º de setembro. De acordo com relatórios, esse ataque levou ao roubo do código-fonte dos clientes da empresa de desenvolvimento de software e consultoria de TI.

O canal ‘Telegram DС8044 Kyiv Info’ foi o primeiro a divulgar a notícia do ataque cibernético à SoftServe. Uma suposta mensagem enviada pela empresa aos funcionários é:

“Hoje, à 1h da manhã, a SoftServe sofreu um ataque cibernético. Os invasores tiveram acesso à infraestrutura da empresa e conseguiram lançar um ransomeware de criptografia junto com algum outro malware.

Colocamos alguns de nossos serviços offline para impedir a propagação do ataque, infelizmente seu trabalho estará sofrendo com nossas medidas de contenção nas próximas horas …

Também bloqueamos túneis para as redes de nossos clientes para evitar a propagação de malware em sua infraestrutura. “

Posteriormente, em declaração ao site de notícias de Tecnologia Ucraniana, a SoftServe confirmou sobre o ataque que os fez desconectar seus clientes para evitar sua propagação:

“Sim, houve um ataque hoje. As consequências mais significativas do ataque são a perda temporária de funcionalidade de uma parte do sistema de correio e a interrupção de alguns dos ambientes de teste auxiliares. Tanto quanto podemos estimar, este é o maior impacto do ataque, e outros sistemas ou dados do cliente não foram afetados. ”

Adriyan Pavlikervich, vice-presidente sênior de TI da SoftServe disse à AIN, “Para evitar a propagação do ataque, isolamos alguns segmentos de nossa rede e restringimos a comunicação com as redes dos clientes. Estamos preparando uma mensagem aos nossos clientes sobre a situação. Simultaneamente com a retomada dos serviços, estamos investigando o próprio incidente, então não estamos prontos para comentar quem exatamente fez isso.

 Um relatório de incidente do pesquisador da MalwareHunterrTeam confirma esse ataque. De acordo com o relatório, este ransomware acrescenta a extensão “* .s0fts3rve555 – *** (como s0fts3rve555-76e9b8bf)” aos arquivos criptografados. Este padrão de anexação corresponde ao usado pelo Defray ransomware, também conhecido como RansomEXX, no entanto, não há a confirmação exata de que os dois são iguais.

O relatório também informa sobre o momento em que o ataque ocorreu. Segundo ele, foi entre 2h e 9h que é indicado pelo script Powershell usado para localizar arquivos que foram alterados durante o ataque.

O canal DС8044 Telegram compartilhou uma postagem depois, incluindo o link dos repositórios de código-fonte supostamente roubados durante o ataque. Os arquivos zip são para os projetos que afirmam ser da Toyota, Panasonic, IBM, Cisco, ADT, WorldPay e muito mais. No entanto, ainda não foi confirmado se esses dados pertencem à SoftServe.

Relatório de incidente da SoftServe diz que os invasores podem explorar vulnerabilidades de sequestro de DLL no aplicativo Rainmeter legítimo. Este aplicativo é uma ferramenta legítima de personalização do Windows que carrega Rainmeter.dll quando iniciado. Os invasores podem substituir esse arquivo .dll por uma versão maliciosa para implantar o ransomware malicioso.

O relatório de incidente da SoftServe diz: “DLL de ransomware distribuído (Rainmeter.dll) compilado do Rainmeter legítimo – uma ferramenta de personalização de desktop para Windows. Carregamento de DLL malicioso de um EXE legítimo (usado o método de ataque cibernético popular DLL side-loading) usando instrumentos adicionais como CobaltStrike Beacon, PowerShell, etc. Essa técnica é difícil de detectar por qualquer antivírus a partir de agora. “

O relatório também afirma que há evidências de que os agentes da ameaça tentaram entregar o ransomware aos setores de saúde e educação usando o cavalo de Troia de acesso remoto PyXie -a. Do BlackBerry, relatório de 2019, pyxie é uma vulnerabilidade de sequestro de DLL de exploração bem conhecida.