был использован инструмент настройки Windows
1 сентября украинский разработчик программного обеспечения и поставщик ИТ-услуг SoftServe подвергся атаке с использованием программ-вымогателей, которая могла привести к краже исходного кода клиентов.
SoftServe с более чем 8000 сотрудников и 50 офисами по всему миру является одной из крупнейших украинских компаний, предлагающих разработку программного обеспечения и ИТ-консалтинг.
Новости о кибератаке на SoftServe впервые начали циркулировать на канале Telegram DС8044 Kyiv Info, где было распространено предполагаемое сообщение, отправленное компанией сотрудникам.
«Сегодня в час ночи SoftServe подвергся кибератаке. Злоумышленники получили доступ к инфраструктуре компании и сумели запустить шифровальщик-вымогатель вместе с некоторыми другими вредоносными программами.
Мы отключили некоторые из наших сервисов, чтобы остановить распространение атаки, к сожалению, ваша работа будет страдая от наших мер по сдерживанию в ближайшие часы ...
Мы также заблокировали туннели к сетям наших клиентов, чтобы избежать распространения вредоносного ПО в их инфраструктуру ".
В последующем заявлении для украинского сайта технологических новостей AIN SoftServe подтвердила, что произошла кибератака, в результате которой они отключили своих клиентов, чтобы предотвратить ее распространение.
«Да, сегодня было нападение. Наиболее существенными последствиями атаки являются временная потеря функциональности части почтовой системы и остановка некоторых вспомогательных тестовых сред. Насколько мы можем оценить, это наибольшее влияние атаки, и другие системы или данные клиентов не пострадали ».
«Чтобы избежать распространения атаки, мы изолировали некоторые сегменты нашей сети и ограничили связь с клиентскими сетями. Мы готовим сообщение нашим клиентам о ситуации. Одновременно с возобновлением обслуживания мы расследуем сам инцидент, поэтому мы не готовы прокомментировать , кто именно это сделал,», Adriyan Pavlikevich, старший вице - президент по ИТ SoftServe сообщил AIN .
Отчет об инциденте, обнаруженный сегодня специалистом по безопасности MalwareHunterTeam и переданный BleepingComputer, подтверждает, что SoftServe подвергся атаке вымогателя.
В этом отчете об инциденте говорится, что атака программы-вымогателя добавила расширение «* .s0fts3rve555 - *** (например, s0fts3rve555-76e9b8bf)» к именам зашифрованных файлов.
Это не подтверждено, но этот шаблон расширения соответствует тем, которые используются вымогателем Defray, также известным как RansomEXX, который недавно использовался против Konica Minolta .
В отчет также включен сценарий PowerShell, используемый для поиска файлов, которые были изменены во время атаки, что указывает на то, что атака произошла между 2 и 9 часами ночи.
Сценарий PowerShell
BleepingComputer связался с SoftServe с дополнительными вопросами об атаке, но не получил ответа.
Исходный код клиентов предположительно украден
В более позднем посте в Telegram-канале DС8044 были опубликованы ссылки на репозитории исходного кода, которые предположительно были украдены во время этой атаки.
Эти zip-файлы предназначены для проектов, предназначенных для Toyota, Panasonic, IBM, Cisco, ADT, WorldPay и других.
Утечка файлов, предположительно украденных во время атаки
SoftServe
BleepingComputer не подтвердил независимо, принадлежат ли эти данные SoftServe, но в некоторых репозиториях утечки исходного кода есть ссылки на эту компанию.
Инструмент настройки Windows используется в атаке
Согласно отчету об инциденте SoftService, злоумышленники использовали уязвимость перехвата DLL в легитимном приложении Rainmeter для развертывания своего программного обеспечения-вымогателя.
Rainmeter - это законный инструмент настройки Windows, который при запуске загружает Rainmeter.dll.
Во время атаки злоумышленники заменили законный Rainmeter.dll вредоносной версией, скомпилированной из исходного кода для развертывания вымогателя.
"Распределенная DLL вымогателя (Rainmeter.dll), скомпилированная из легального Rainmeter - инструмента настройки рабочего стола для Windows. Вредоносная DLL загружается из легитимного EXE (используется популярный метод кибератаки, загрузка DLL сбоку) с использованием дополнительных инструментов, таких как CobaltStrike Beacon, PowerShell и т. Д. на данный момент трудно обнаружить каким-либо антивирусом », - говорится в отчете об инциденте SoftServe.
Согласно данным VirusTotal , Rainmeter.dll идентифицирован как бэкдор Win32 / PyXie.A.
В отчете BlackBerry за 2019 год PyXie - это троян удаленного доступа Python (RAT), который, как известно, использует уязвимости перехвата DLL в другом программном обеспечении, таком как LogMeIn и Google Update.
Исследователи BlackBerry заявляют, что они видели доказательства того, что эта RAT использовалась в атаках программ-вымогателей.
«Аналитики обнаружили доказательства того, что злоумышленники пытались доставить программы-вымогатели в сектор здравоохранения и образования с помощью PyXie», - говорится в отчете.
Перевод с английского - Google
1 сентября украинский разработчик программного обеспечения и поставщик ИТ-услуг SoftServe подвергся атаке с использованием программ-вымогателей, которая могла привести к краже исходного кода клиентов.
SoftServe с более чем 8000 сотрудников и 50 офисами по всему миру является одной из крупнейших украинских компаний, предлагающих разработку программного обеспечения и ИТ-консалтинг.
Новости о кибератаке на SoftServe впервые начали циркулировать на канале Telegram DС8044 Kyiv Info, где было распространено предполагаемое сообщение, отправленное компанией сотрудникам.
«Сегодня в час ночи SoftServe подвергся кибератаке. Злоумышленники получили доступ к инфраструктуре компании и сумели запустить шифровальщик-вымогатель вместе с некоторыми другими вредоносными программами.
Мы отключили некоторые из наших сервисов, чтобы остановить распространение атаки, к сожалению, ваша работа будет страдая от наших мер по сдерживанию в ближайшие часы ...
Мы также заблокировали туннели к сетям наших клиентов, чтобы избежать распространения вредоносного ПО в их инфраструктуру ".
В последующем заявлении для украинского сайта технологических новостей AIN SoftServe подтвердила, что произошла кибератака, в результате которой они отключили своих клиентов, чтобы предотвратить ее распространение.
«Да, сегодня было нападение. Наиболее существенными последствиями атаки являются временная потеря функциональности части почтовой системы и остановка некоторых вспомогательных тестовых сред. Насколько мы можем оценить, это наибольшее влияние атаки, и другие системы или данные клиентов не пострадали ».
«Чтобы избежать распространения атаки, мы изолировали некоторые сегменты нашей сети и ограничили связь с клиентскими сетями. Мы готовим сообщение нашим клиентам о ситуации. Одновременно с возобновлением обслуживания мы расследуем сам инцидент, поэтому мы не готовы прокомментировать , кто именно это сделал,», Adriyan Pavlikevich, старший вице - президент по ИТ SoftServe сообщил AIN .
Отчет об инциденте, обнаруженный сегодня специалистом по безопасности MalwareHunterTeam и переданный BleepingComputer, подтверждает, что SoftServe подвергся атаке вымогателя.
В этом отчете об инциденте говорится, что атака программы-вымогателя добавила расширение «* .s0fts3rve555 - *** (например, s0fts3rve555-76e9b8bf)» к именам зашифрованных файлов.
Это не подтверждено, но этот шаблон расширения соответствует тем, которые используются вымогателем Defray, также известным как RansomEXX, который недавно использовался против Konica Minolta .
В отчет также включен сценарий PowerShell, используемый для поиска файлов, которые были изменены во время атаки, что указывает на то, что атака произошла между 2 и 9 часами ночи.
Сценарий PowerShell
BleepingComputer связался с SoftServe с дополнительными вопросами об атаке, но не получил ответа.
Исходный код клиентов предположительно украден
В более позднем посте в Telegram-канале DС8044 были опубликованы ссылки на репозитории исходного кода, которые предположительно были украдены во время этой атаки.
Эти zip-файлы предназначены для проектов, предназначенных для Toyota, Panasonic, IBM, Cisco, ADT, WorldPay и других.
Утечка файлов, предположительно украденных во время атаки
SoftServe
BleepingComputer не подтвердил независимо, принадлежат ли эти данные SoftServe, но в некоторых репозиториях утечки исходного кода есть ссылки на эту компанию.
Инструмент настройки Windows используется в атаке
Согласно отчету об инциденте SoftService, злоумышленники использовали уязвимость перехвата DLL в легитимном приложении Rainmeter для развертывания своего программного обеспечения-вымогателя.
Rainmeter - это законный инструмент настройки Windows, который при запуске загружает Rainmeter.dll.
Во время атаки злоумышленники заменили законный Rainmeter.dll вредоносной версией, скомпилированной из исходного кода для развертывания вымогателя.
"Распределенная DLL вымогателя (Rainmeter.dll), скомпилированная из легального Rainmeter - инструмента настройки рабочего стола для Windows. Вредоносная DLL загружается из легитимного EXE (используется популярный метод кибератаки, загрузка DLL сбоку) с использованием дополнительных инструментов, таких как CobaltStrike Beacon, PowerShell и т. Д. на данный момент трудно обнаружить каким-либо антивирусом », - говорится в отчете об инциденте SoftServe.
Согласно данным VirusTotal , Rainmeter.dll идентифицирован как бэкдор Win32 / PyXie.A.
В отчете BlackBerry за 2019 год PyXie - это троян удаленного доступа Python (RAT), который, как известно, использует уязвимости перехвата DLL в другом программном обеспечении, таком как LogMeIn и Google Update.
Исследователи BlackBerry заявляют, что они видели доказательства того, что эта RAT использовалась в атаках программ-вымогателей.
«Аналитики обнаружили доказательства того, что злоумышленники пытались доставить программы-вымогатели в сектор здравоохранения и образования с помощью PyXie», - говорится в отчете.
Перевод с английского - Google
Последнее редактирование: