Η Ουκρανική εταιρεία SoftServe υπέστη μια επίθεση ransomware την 1η Σεπτεμβρίου που ενδέχεται να έχει οδηγήσει σε κλοπή του πηγαίου κώδικα των πελατών της.
Με περισσότερους από 8.000 υπαλλήλους και 50 γραφεία παγκοσμίως, η SoftServe είναι μία από τις μεγαλύτερες εταιρείες της Ουκρανίας που προσφέρουν υπηρεσίες software development και IT consulting.
Τα νέα για την διαδικτυακή επίθεση στην SoftServe άρχισαν να κυκλοφορούν για πρώτη φορά στο κανάλι «Telegram DС8044 Kyiv Info», όπου κοινοποιήθηκε ένα φερόμενο μήνυμα της εταιρείας στους υπαλλήλους της.
Σε μια μεταγενέστερη δήλωση στο ουκρανικό news site AIN, η SoftServe επιβεβαίωσε ότι είχε δεχθεί μια κυβερνοεπίθεση που την έκανε να “αποσυνδέσει” τους πελάτες της για να αποτρέψει την εξάπλωσή του.
«Ναι, πράγματι δεχτήκαμε επίθεση σήμερα. Οι πιο σημαντικές συνέπειες της επίθεσης είναι η προσωρινή απώλεια λειτουργικότητας ενός μέρους του συστήματος mail και η διακοπή ορισμένων από τα βοηθητικά περιβάλλοντα δοκιμών. Από όσο μπορούμε να εκτιμήσουμε, αυτός είναι ο μεγαλύτερος αντίκτυπος της επίθεσης και άλλα συστήματα ή δεδομένα πελατών δεν επηρεάστηκαν.»
“Για να αποφευχθεί η εξάπλωση της επίθεσης, απομονώσαμε ορισμένα τμήματα του δικτύου μας και περιορίσαμε την επικοινωνία με τα δίκτυα των πελατών. Ετοιμάζουμε ένα μήνυμα για να ενημερώσουμε τους πελάτες μας για την κατάσταση. Ακόμη ερευνούμε το συμβάν οπότε δεν είμαστε έτοιμοι να σχολιάσουμε ποιος το έκανε,” είπε ο Adriyan Pavlikevich, αντιπρόεδρος της SoftServe.
Μια αναφορά που εντοπίστηκε σήμερα από τον ερευνητή ασφαλείας της MalwareHunterTeam, επιβεβαιώνει ότι η SoftServe υπέστη επίθεση ransomware.
Αυτό το incident report αναφέρει ότι η επίθεση ransomware πρόσθεσε την επέκταση “* .s0fts3rve555 – *** (όπως s0fts3rve555-76e9b8bf)” στα κρυπτογραφημένα ονόματα των αρχείων.
Δεν έχει επιβεβαιωθεί, αλλά αυτό το μοτίβο επέκτασης ταιριάζει με αυτά που χρησιμοποιούνται από το Defray ransomware, επίσης γνωστό ως RansomEXX, το οποίο χρησιμοποιήθηκε πρόσφατα εναντίον της Konica Minolta.
Η αναφορά περιλαμβάνει επίσης ένα PowerShell script που χρησιμοποιείται για την εύρεση αρχείων που άλλαξαν κατά τη διάρκεια της επίθεσης, υποδεικνύοντας ότι η επίθεση συνέβη μεταξύ 2 π.μ. και 9 π.μ.
Ο πηγαίος κώδικας των πελατών φέρεται να έχει κλαπεί
Σε μια μεταγενέστερη ανάρτηση στο κανάλι Telegram DС8044, κοινοποιήθηκαν links στα «source code repositories» που φέρεται ότι είχαν κλαπεί κατά τη διάρκεια αυτής της επίθεσης. Αυτά τα αρχεία zip είναι για projects που ισχυρίζονται ότι προορίζονται για τις εταιρείες Toyota, Panasonic, IBM, Cisco, ADT και WorldPay.
Εργαλείο προσαρμογής των Windows που εκμεταλλεύτηκε την επίθεση
Σύμφωνα με την αναφορά της SoftService, οι επιτιθέμενοι εκμεταλλεύτηκαν μια ευπάθεια DLL που παραβίαζε τη νόμιμη εφαρμογή Rainmeter για να αναπτύξουν το ransomware τους.
Το Rainmeter είναι ένα νόμιμο εργαλείο προσαρμογής των Windows που φορτώνει ένα Rainmeter.dll κατά την εκκίνηση.
Κατά τη διάρκεια της επίθεσης, οι απειλητικοί παράγοντες αντικατέστησαν το νόμιμο Rainmeter.dll με μια κακόβουλη έκδοση.
Πηγή: Bleepingcomputer.com
