Ransomware REvil: Kaspersky wykrył ponad 5 000 prób ataków w ramach kampanii przeprowadzonej w 22 krajach

Na początku lipca stało się jasne, że gang ransomware REvil przeprowadził duży atak na dostawców usług zarządzanych (MSP) oraz ich klientów na całym świecie. W rezultacie tysiące firm potencjalnie padło ofiarą oprogramowania ransomware. Badacze z firmy Kaspersky zaobserwowali jak dotąd ponad 5 000 prób infekcji w Europie oraz Ameryce Północnej i Południowej.

Cybergang REvil (znany również jako Sodinokibi) to jedno z „najpłodniejszych” ugrupowań stosujących model ransomware jako usługa (RaaS). Pojawiło się ono w 2019 roku, natomiast rozgłos zyskało w ostatnich kilku miesiącach ze względu na atakowane cele oraz rekordowe zarobki osiągane w wyniku żądania okupu. W ostatnim ataku gang REvil zainfekował dostawcę oprogramowania do zarządzania usługami IT przeznaczonego dla dostawców usług zarządzanych, a jego skutki odczuło wiele firm na całym świecie. Cyberprzestępcy zainstalowali szkodliwą funkcję poprzez skrypt PowerShell, który z kolei został prawdopodobnie wykonany za pośrednictwem oprogramowania dostawcy usług zarządzanych.

Skrypt wyłączył funkcje ochrony narzędzia Microsoft Defender for Endpoint, a następnie zdekodował szkodliwy plik wykonywalny, który zawierał legalny plik binarny firmy Microsoft, starszą wersję rozwiązania Microsoft Defender oraz szkodliwą bibliotekę zawierającą ransomware REvil. Przy pomocy tej kombinacji komponentów w module ładującym atakujący zdołali wykorzystać technikę ładowania pośredniego biblioteki DLL oraz zaatakować wiele organizacji.

Przy pomocy swojej usługi Threat Intelligence Service firma Kaspersky zaobserwowała ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

Gangi ransomware oraz ich partnerzy podnoszą poprzeczkę coraz wyżej od czasu szeroko nagłośnionych ataków na Colonial Pipeline i JBS, jak również wiele innych organizacji w różnych państwach. Tym razem ugrupowanie REvil przeprowadziło masowy atak na dostawców usług zarządzanych, infekując za ich pośrednictwem tysiące firm na całym świecie – powiedział Władimir Kuskow, szef działu badań cyberzagrożeń w firmie Kaspersky. Atak ten stanowi kolejne przypomnienie, jak ważne jest stosowanie właściwych środków i rozwiązań cyberbezpieczeństwa na wszystkich etapach – także przez dostawców oraz partnerów.

Rozwiązania firmy Kaspersky zapewniają ochronę przed opisywanym zagrożeniem. Jest ono wykrywane pod następującymi nazwami:

  • UDS:DangerousObject.Multi.Generic,

  • Trojan-Ransom.Win32.Gen.gen,

  • Trojan-Ransom.Win32.Sodin.gen,

  • Trojan-Ransom.Win32.Convagent.gen,

  • PDM:Trojan.Win32.Generic (przy użyciu modułu wykrywania behawioralnego).

Szczegóły techniczne dotyczące najnowszych ataku cybergangu REvil są dostępne na stronie https://r.kaspersky.pl/VcHjl.


data ostatniej modyfikacji: 2021-07-07 14:26:46
Komentarze
 
Polityka Prywatności