Securitate — July 9, 2021 at 3:23 pm

5000 de tentative de atac detectate în 22 de țări, ca urmare a campaniei de ransomware REvil

by

Pe 2 iulie, s-a aflat că gruparea de ransomware REvil a comis un atac de proporții împotriva furnizorilor de servicii gestionate (Managed Service Providers – MSP) și a clienților acestora din întreaga lume. Acest lucru a făcut ca mii de companii să devină potențiale victime ale ransomware-ului. Cercetătorii Kaspersky au observat peste 5000 de încercări de infectare în Europa, America de Nord și de Sud.

REvil (aka Sodinokibi) este unul dintre cei mai prolifici operatori de ransomware-as-a-service (RaaS), a apărut pentru prima dată în 2019, iar atacurile sale au generat numeroase titluri în media în ultimele câteva luni, datorită țintelor pe care le-au atins și câștigurilor lor record în urma plăților obținute de la victime. În acest ultim atac, REVil a infectat un furnizor IT Management Software pentru MSP, afectând mai multe companii din întreaga lume. Atacatorii au implementat o sarcină utilă rău intenționată prin intermediul scriptului PowerShell, care, la rândul său, a fost probabil executat prin intermediul software-ului furnizorului MSP.

Acest script a dezactivat caracteristicile de protecție Microsoft Defender for Endpoint și apoi a decodat un executabil rău intenționat, care includea un binar legitim Microsoft, o versiune mai veche a soluției Microsoft Defender și o componentă „malicious library” care conținea ransomware REvil. Folosind această combinație de componente în încărcare, atacatorii au reușit să exploateze tehnica DLL de încărcare laterală și să atace mai multe organizații.

Imagine1
Punctele geografice unde au fost identificate tentativele de atac, confrorm telemetriei Kaspersky

Folosind serviciul său de informații despre amenințări, Kaspersky a remarcat peste 5000 de tentative de atac în 22 de țări, cele mai afectate fiind Italia (45,2% tentativele înregistrate), SUA (25,91%), Columbia (14,83%), Germania (3,21%) și Mexic (2,21%).

„Bandele de ransomware și afiliații lor continuă să-și dezvolte tehnicile prin atacuri asupra organizațiilor foarte importante, precum Colonial Pipeline și JBS, și asupra multor alte organizații din diferite țări, încă de când s-au lansat. De data aceasta, operatorii REvil au efectuat un atac masiv asupra MSP-urilor cu mii de companii deservite în întreaga lume, infectându-le și pe acestea”, spune Vladimir Kuskov, Head of Threat Exploration la Kaspersky. „Acest caz demonstrează încă o dată cât de important este să implementăm măsuri și soluții adecvate de securitate cibernetică în toate nivelurile de activitate – inclusiv la nivel de furnizori și parteneri.”

Kaspersky oferă protecție împotriva acestei amenințări și o detectează cu următoarele nume:
• UDS: DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.Gen.gen
• Trojan-Ransom.Win32.Sodin.gen
• Trojan-Ransom.Win32.Convagent.gen
• PDM: Trojan.Win32.Generic (cu Behavior Detection)

Aflați mai multe despre cel mai recent atac lansat de REvil pe Securelist.

Pentru a menține organizațiile protejate de atacurile moderne de ransomware, Kaspersky recomandă:
• Utilizarea unei soluție fiabile de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business, care se bazează pe prevenirea exploatării, detectarea comportamentului și folosirea unui motor de remediere care este capabil să deturneze acțiunile rău intenționate. KESB are, de asemenea, mecanisme de autoapărare care pot preveni eliminarea acestuia de către infractorii cibernetici;
• Nu expuneți serviciile desktop la distanță (cum ar fi RDP) în rețelele publice decât dacă este absolut necesar și folosiți întotdeauna parole puternice pentru acestea;
• Instalați rapid patch-urile disponibile pentru soluțiile VPN comerciale care oferă angajaților acces de la distanță și acționează ca gateway-uri în rețeaua companiei;
• Păstrați întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați pentru a preveni ransomware-ul să exploateze vulnerabilitățile;
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și exfiltrarea datelor pe internet. Acordați o atenție specială traficului de ieșire a informațiilor pentru a detecta conexiunile criminalilor cibernetici. Faceți copii de rezervă în mod regulat. Asigurați-vă că le puteți accesa rapid în caz de urgență atunci când este necesar. Utilizați cele mai recente informații Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii cibernetici;
• Folosiți soluții precum Kaspersky Endpoint Detection and Response și Kaspersky Managed Detection and Response, care ajută la identificarea și oprirea atacului în primele etape, înainte ca atacatorii să își atingă obiectivele finale;
• Protejați mediul corporativ și educați angajații. Sesiunile de training vă pot ajuta, cum ar fi cele furnizate în Kaspersky Automated Security Awareness Platform. O sesiune gratuită despre cum să vă protejați de atacurile ransomware este disponibilă aici.