Ataque de ransomware em serviços de TI da SoftServe: vazamento de dados do cliente

De acordo com o relatório, uma conhecida empresa de software e serviços de TI na Ucrânia, “SoftServe” sofreu um ataque de Ransomware na semana passada. A empresa já confirmou sobre seu hack e roubo de dados de seus clientes por hackers. Os invasores tiveram acesso à infraestrutura da empresa e conseguiram executar ransomware criptografado junto com alguns outros malwares, de acordo com especialistas em segurança da SoftServe Company.

Para quem não sabe, a “SoftServe” é uma das maiores empresas da Ucrânia, oferecendo desenvolvimento de software e consultoria de TI com mais de 8.000 funcionários e 50 escritórios em todo o mundo. Em 1º de setembro, a empresa revelou que os invasores acessaram a infraestrutura da empresa e implantaram um ransomware.

Depois de detectar os ataques cibernéticos, eles desligaram alguns de seus serviços offline e bloquearam as conexões com a rede dos clientes para proteger seus clientes desse ataque. A notícia sobre esse ataque de ransomware foi vista pela primeira vez no canal “Telegram DC8044 Kyiv Info”, onde a SoftServe Company notificou seus funcionários sobre o ataque de ransomware na empresa. Vamos dar uma olhada nas declarações.

“Hoje à 1h da manhã a SoftServe sofreu um ataque cibernético. Os invasores obtiveram acesso à infraestrutura da empresa e conseguiram lançar um ransomeware de criptografia junto com algum outro malware.

Colocamos alguns de nossos serviços offline para impedir a propagação do ataque, infelizmente seu trabalho estará sofrendo com nossas medidas de contenção nas próximas horas …

Também bloqueamos túneis para as redes de nossos clientes para evitar a propagação de malware em sua infraestrutura. ”

Após a confirmação do ataque, a SoftServe começou a desconectar seus clientes para evitar sua propagação. Desde então, as consequências mais significativas do ataque são a perda temporária de funcionalidade de uma parte do sistema de correio e a interrupção de alguns dos ambientes de teste auxiliares. No entanto, outros sistemas ou dados do cliente não foram afetados.

No momento, a SoftServe Company isolou alguns segmentos de sua rede e restringiu as comunicações com redes de clientes para evitar a propagação deste ataque. A empresa está atualmente investigando o ataque e informando seus clientes. Adriyan Pavlikevich, vice-presidente sênior de TI da SoftServe, disse à AIN.

“Se você tiver informações de primeira mão sobre este ou outros ataques cibernéticos não relatados, pode entrar em contato conosco confidencialmente no Signal em +16469613731.”

De acordo com pesquisadores de segurança, o ataque de Ransomware na SoftServe Company anexa a extensão “.softs3rve555 – ***” aos nomes dos arquivos criptografados. Por outro lado, o padrão de extensão de arquivo usado neste ataque de ransomware é compatível com “Defray Ransomware” ou “RansomEXX”, que foi recentemente usado contra Konica Minolta, um gigante de tecnologia de negócios. A empresa compartilhou ainda sobre o ataque ao canal “DC8044 Telegram” que os arquivos zip importantes para projetos que afirmam ser para Toyota, Panasonic, IBM, CISCO, ADT, WorldPay e mais, foram supostamente roubados durante este ataque de ransomware.

“Rainmeter” é uma ferramenta de personalização genuína do Windows que carrega um Rainmeter.dll quando executado. Durante o ataque de ransomware na SoftServe Company, os cibercriminosos substituíram este arquivo legítimo “Rainmeter.dll” por uma versão maliciosa fornecida pelo código-fonte para implantar o ransomware. É difícil detectar esse ataque por qualquer vírus antivírus porque o carregamento dll malicioso de um exe legítimo usando instrumentos adicionais como Powershell, CobaltStrike Beacon e assim por diante.

Estamos pesquisando sobre o assunto “SoftServe atingido por Ransomware” em detalhes e com certeza postaremos uma atualização, se ela vier no futuro. Se você tiver alguma sugestão ou dúvida a respeito disso, escreva na caixa de comentários fornecida abaixo.