Ransomware REvil: Kaspersky wykrył ponad 5 000 prób ataków w ramach kampanii przeprowadzonej w 22 krajach

2 lipca stało się jasne, że gang ransomware REvil przeprowadził duży atak na dostawców usług zarządzanych (MSP) oraz ich klientów na całym świecie. W rezultacie tysiące firm potencjalnie padło ofiarą oprogramowania ransomware. Badacze z firmy Kaspersky zaobserwowali jak dotąd ponad 5 000 prób infekcji w Europie oraz Ameryce Północnej i Południowej.

 

Cybergang REvil (znany również jako Sodinokibi) to jedno z „najpłodniejszych” ugrupowań stosujących model ransomware jako usługa (RaaS). Pojawiło się ono w 2019 roku, natomiast rozgłos zyskało w ostatnich kilku miesiącach ze względu na atakowane cele oraz rekordowe zarobki osiągane w wyniku żądania okupu. W ostatnim ataku gang REvil zainfekował dostawcę oprogramowania do zarządzania usługami IT przeznaczonego dla dostawców usług zarządzanych, a jego skutki odczuło wiele firm na całym świecie. Cyberprzestępcy zainstalowali szkodliwą funkcję poprzez skrypt PowerShell, który z kolei został prawdopodobnie wykonany za pośrednictwem oprogramowania dostawcy usług zarządzanych.

Skrypt wyłączył funkcje ochrony narzędzia Microsoft Defender for Endpoint, a następnie zdekodował szkodliwy plik wykonywalny, który zawierał legalny plik binarny firmy Microsoft, starszą wersję rozwiązania Microsoft Defender oraz szkodliwą bibliotekę zawierającą ransomware REvil. Przy pomocy tej kombinacji komponentów w module ładującym atakujący zdołali wykorzystać technikę ładowania pośredniego biblioteki DLL oraz zaatakować wiele organizacji.

Przy pomocy swojej usługi Threat Intelligence Service firma Kaspersky zaobserwowała ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

Gangi ransomware oraz ich partnerzy podnoszą poprzeczkę coraz wyżej od czasu szeroko nagłośnionych ataków na Colonial Pipeline i JBS, jak również wiele innych organizacji w różnych państwach. Tym razem ugrupowanie REvil przeprowadziło masowy atak na dostawców usług zarządzanych, infekując za ich pośrednictwem tysiące firm na całym świecie – powiedział Władimir Kuskow, szef działu badań cyberzagrożeń w firmie KasperskyAtak ten stanowi kolejne przypomnienie, jak ważne jest stosowanie właściwych środków i rozwiązań cyberbezpieczeństwa na wszystkich etapach – także przez dostawców oraz partnerów.

Rozwiązania firmy Kaspersky zapewniają ochronę przed opisywanym zagrożeniem. Jest ono wykrywane pod następującymi nazwami:

  • UDS:DangerousObject.Multi.Generic,
  • Trojan-Ransom.Win32.Gen.gen,
  • Trojan-Ransom.Win32.Sodin.gen,
  • Trojan-Ransom.Win32.Convagent.gen,
  • PDM:Trojan.Win32.Generic (przy użyciu modułu wykrywania behawioralnego).

Szczegóły techniczne dotyczące najnowszych ataku cybergangu REvil są dostępne na stronie https://r.kaspersky.pl/VcHjl.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają organizacjom następujące działania w celu zabezpieczenia się przed współczesnymi atakami ransomware:

  • Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które jest wyposażone w technologię zapobiegania exploitom, wykrywania zachowania oraz silnik korygujący, który potrafi cofnąć szkodliwe działania. Rozwiązanie posiada również mechanizmy autoochrony, uniemożliwiające cyberprzestępcom usunięcie go z urządzenia.
  • Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, jeśli nie jest to absolutnie konieczne, i zawsze stosuj dla nich silne hasła.
  • Niezwłocznie instaluj udostępniane poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy do Twojej sieci.
  • Zawsze aktualizuj oprogramowanie na wykorzystywanych przez siebie urządzeniach w celu uniemożliwienia oprogramowaniu ransomware wykorzystania luk w zabezpieczeniach.
  • W ramach strategii obrony skoncentruj się na wykrywaniu penetracji sieci oraz wyprowadzania danych do internetu. W celu wykrycia połączeń cyberprzestępców zwróć szczególną uwagę na ruch wychodzący.
  • Regularnie wykonuj kopię zapasową swoich danych. Zadbaj o to, aby w razie potrzeby można było szybko uzyskać do niej dostęp.
  • Wykorzystuj najnowsze informacje o cyberzagrożeniach, aby orientować się w taktykach, technikach i procedurach wykorzystywanych przez cyberprzestępców.
  • Stosuj zaawansowane rozwiązania, takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim atakujący osiągną swoje ostateczne cele.
  • Chroń środowisko firmowe oraz edukuj pracowników. Pomocne będą kursy szkoleniowe, np. Kaspersky Automated Security Awareness Platform.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *