2 lipca stało się jasne, że gang ransomware REvil przeprowadził duży atak na dostawców usług zarządzanych (MSP) oraz ich klientów na całym świecie. W rezultacie tysiące firm potencjalnie padło ofiarą oprogramowania ransomware. Badacze z firmy Kaspersky zaobserwowali jak dotąd ponad 5 000 prób infekcji w Europie oraz Ameryce Północnej i Południowej. Cybergang REvil (znany również jako Sodinokibi) to jedno z „najpłodniejszych” ugrupowań stosujących model ransomware jako usługa (RaaS).
Pojawiło się ono w 2019 roku, natomiast rozgłos zyskało w ostatnich kilku miesiącach ze względu na atakowane cele oraz rekordowe zarobki osiągane w wyniku żądania okupu. W ostatnim ataku gang REvil zainfekował dostawcę oprogramowania do zarządzania usługami IT przeznaczonego dla dostawców usług zarządzanych, a jego skutki odczuło wiele firm na całym świecie. Cyberprzestępcy zainstalowali szkodliwą funkcję poprzez skrypt PowerShell, który z kolei został prawdopodobnie wykonany za pośrednictwem oprogramowania dostawcy usług zarządzanych.
Skrypt wyłączył funkcje ochrony narzędzia Microsoft Defender for Endpoint, a następnie zdekodował szkodliwy plik wykonywalny, który zawierał legalny plik binarny firmy Microsoft, starszą wersję rozwiązania Microsoft Defender oraz szkodliwą bibliotekę zawierającą ransomware REvil. Przy pomocy tej kombinacji komponentów w module ładującym atakujący zdołali wykorzystać technikę ładowania pośredniego biblioteki DLL oraz zaatakować wiele organizacji.
Przy pomocy swojej usługi Threat Intelligence Service firma Kaspersky zaobserwowała ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).
– Gangi ransomware oraz ich partnerzy podnoszą poprzeczkę coraz wyżej od czasu szeroko nagłośnionych ataków na Colonial Pipeline i JBS, jak również wiele innych organizacji w różnych państwach. Tym razem ugrupowanie REvil przeprowadziło masowy atak na dostawców usług zarządzanych, infekując za ich pośrednictwem tysiące firm na całym świecie – powiedział Władimir Kuskow, szef działu badań cyberzagrożeń w firmie Kaspersky. Atak ten stanowi kolejne przypomnienie, jak ważne jest stosowanie właściwych środków i rozwiązań cyberbezpieczeństwa na wszystkich etapach – także przez dostawców oraz partnerów.
Rozwiązania firmy Kaspersky zapewniają ochronę przed opisywanym zagrożeniem. Jest ono wykrywane pod następującymi nazwami:
- UDS:DangerousObject.Multi.Generic,
- Trojan-Ransom.Win32.Gen.gen,
- Trojan-Ransom.Win32.Sodin.gen,
- Trojan-Ransom.Win32.Convagent.gen,
- PDM:Trojan.Win32.Generic (przy użyciu modułu wykrywania behawioralnego).
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają organizacjom następujące działania w celu zabezpieczenia się przed współczesnymi atakami ransomware:
- Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które jest wyposażone w technologię zapobiegania exploitom, wykrywania zachowania oraz silnik korygujący, który potrafi cofnąć szkodliwe działania. Rozwiązanie posiada również mechanizmy autoochrony, uniemożliwiające cyberprzestępcom usunięcie go z urządzenia.
- Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, jeśli nie jest to absolutnie konieczne, i zawsze stosuj dla nich silne hasła.
- Niezwłocznie instaluj udostępniane poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy do Twojej sieci.
- Zawsze aktualizuj oprogramowanie na wykorzystywanych przez siebie urządzeniach w celu uniemożliwienia oprogramowaniu ransomware wykorzystania luk w zabezpieczeniach.
- W ramach strategii obrony skoncentruj się na wykrywaniu penetracji sieci oraz wyprowadzania danych do internetu. W celu wykrycia połączeń cyberprzestępców zwróć szczególną uwagę na ruch wychodzący.
- Regularnie wykonuj kopię zapasową swoich danych. Zadbaj o to, aby w razie potrzeby można było szybko uzyskać do niej dostęp.
- Wykorzystuj najnowsze informacje o cyberzagrożeniach, aby orientować się w taktykach, technikach i procedurach wykorzystywanych przez cyberprzestępców.
- Stosuj zaawansowane rozwiązania, takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim atakujący osiągną swoje ostateczne cele.
- Chroń środowisko firmowe oraz edukuj pracowników. Pomocne będą kursy szkoleniowe, np. Kaspersky Automated Security Awareness Platform.