2021-07-06
2 lipca stało się jasne, że gang ransomware REvil przeprowadził duży atak na dostawców usług zarządzanych (MSP) oraz ich klientów na całym świecie. W rezultacie tysiące firm potencjalnie padło ofiarą oprogramowania ransomware.

Badacze z firmy Kaspersky zaobserwowali jak dotąd ponad 5 000 prób infekcji w Europie oraz Ameryce Północnej i Południowej.

Cybergang REvil (znany również jako Sodinokibi) to jedno z „najpłodniejszych” ugrupowań stosujących model ransomware jako usługa (RaaS). Pojawiło się ono w 2019 roku, natomiast rozgłos zyskało w ostatnich kilku miesiącach ze względu na atakowane cele oraz rekordowe zarobki osiągane w wyniku żądania okupu. W ostatnim ataku gang REvil zainfekował dostawcę oprogramowania do zarządzania usługami IT przeznaczonego dla dostawców usług zarządzanych, a jego skutki odczuło wiele firm na całym świecie. Cyberprzestępcy zainstalowali szkodliwą funkcję poprzez skrypt PowerShell, który z kolei został prawdopodobnie wykonany za pośrednictwem oprogramowania dostawcy usług zarządzanych.

Skrypt wyłączył funkcje ochrony narzędzia Microsoft Defender for Endpoint, a następnie zdekodował szkodliwy plik wykonywalny, który zawierał legalny plik binarny firmy Microsoft, starszą wersję rozwiązania Microsoft Defender oraz szkodliwą bibliotekę zawierającą ransomware REvil. Przy pomocy tej kombinacji komponentów w module ładującym atakujący zdołali wykorzystać technikę ładowania pośredniego biblioteki DLL oraz zaatakować wiele organizacji.

Przy pomocy swojej usługi Threat Intelligence Service firma Kaspersky zaobserwowała ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

Gangi ransomware oraz ich partnerzy podnoszą poprzeczkę coraz wyżej od czasu szeroko nagłośnionych ataków na Colonial Pipeline i JBS, jak również wiele innych organizacji w różnych państwach. Tym razem ugrupowanie REvil przeprowadziło masowy atak na dostawców usług zarządzanych, infekując za ich pośrednictwem tysiące firm na całym świecie – powiedział Władimir Kuskow, szef działu badań cyberzagrożeń w firmie Kaspersky. Atak ten stanowi kolejne przypomnienie, jak ważne jest stosowanie właściwych środków i rozwiązań cyberbezpieczeństwa na wszystkich etapach – także przez dostawców oraz partnerów.

Rozwiązania firmy Kaspersky zapewniają ochronę przed opisywanym zagrożeniem. Jest ono wykrywane pod następującymi nazwami:

·        UDS:DangerousObject.Multi.Generic,

·        Trojan-Ransom.Win32.Gen.gen,

·        Trojan-Ransom.Win32.Sodin.gen,

·        Trojan-Ransom.Win32.Convagent.gen,

·        PDM:Trojan.Win32.Generic (przy użyciu modułu wykrywania behawioralnego).

Szczegóły techniczne dotyczące najnowszych ataku cybergangu REvil są dostępne na stronie https://r.kaspersky.pl/VcHjl.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają organizacjom następujące działania w celu zabezpieczenia się przed współczesnymi atakami ransomware:

·        Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które jest wyposażone w technologię zapobiegania exploitom, wykrywania zachowania oraz silnik korygujący, który potrafi cofnąć szkodliwe działania. Rozwiązanie posiada również mechanizmy autoochrony, uniemożliwiające cyberprzestępcom usunięcie go z urządzenia.

·        Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, jeśli nie jest to absolutnie konieczne, i zawsze stosuj dla nich silne hasła.

·        Niezwłocznie instaluj udostępniane poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy do Twojej sieci.

·        Zawsze aktualizuj oprogramowanie na wykorzystywanych przez siebie urządzeniach w celu uniemożliwienia oprogramowaniu ransomware wykorzystania luk w zabezpieczeniach.

·        W ramach strategii obrony skoncentruj się na wykrywaniu penetracji sieci oraz wyprowadzania danych do internetu. W celu wykrycia połączeń cyberprzestępców zwróć szczególną uwagę na ruch wychodzący.

·        Regularnie wykonuj kopię zapasową swoich danych. Zadbaj o to, aby w razie potrzeby można było szybko uzyskać do niej dostęp.

·        Wykorzystuj najnowsze informacje o cyberzagrożeniach, aby orientować się w taktykach, technikach i procedurach wykorzystywanych przez cyberprzestępców.

·        Stosuj zaawansowane rozwiązania, takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim atakujący osiągną swoje ostateczne cele.

·        Chroń środowisko firmowe oraz edukuj pracowników. Pomocne będą kursy szkoleniowe, np. Kaspersky Automated Security Awareness Platform.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła. Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci. 

Nadesłał: Kaspersky Lab Polska Sp. z o.o. http://kaspersky.pl