Gruparea de ransomware REvil a comis un atac de proporţii împotriva furnizorilor de servicii gestionate (Managed Service Providers - MSP) şi a clienţilor acestora din întreaga lume, iar cercetătorii Kaspersky au observat peste 5000 de încercări de infectare în Europa, America de Nord şi de Sud.
”Pe 2 iulie, s-a aflat că gruparea de ransomware REvil a comis un atac de proporţii împotriva furnizorilor de servicii gestionate (Managed Service Providers - MSP) şi a clienţilor acestora din întreaga lume. Acest lucru a făcut ca mii de companii să devină potenţiale victime ale ransomware-ului. Cercetătorii Kaspersky au observat peste 5000 de încercări de infectare în Europa, America de Nord şi de Sud”, a informat compania de soluţii de securitate cibernetică.
REvil (aka Sodinokibi) este unul dintre cei mai prolifici operatori de ransomware-as-a-service (RaaS), a apărut pentru prima dată în 2019, iar atacurile sale au generat numeroase titluri în media în ultimele câteva luni, datorită ţintelor pe care le-au atins şi câştigurilor lor record în urma plăţilor obţinute de la victime.
În acest ultim atac, REVil a infectat un furnizor IT Management Software pentru MSP, afectând mai multe companii din întreaga lume. Atacatorii au implementat o sarcină utilă rău intenţionată prin intermediul scriptului PowerShell, care, la rândul său, a fost probabil executat prin intermediul software-ului furnizorului MSP.
Acest script a dezactivat caracteristicile de protecţie Microsoft Defender for Endpoint şi apoi a decodat un executabil rău intenţionat, care includea un binar legitim Microsoft, o versiune mai veche a soluţiei Microsoft Defender şi o componentă „malicious library” care conţinea ransomware REvil. Folosind această combinaţie de componente în încărcare, atacatorii au reuşit să exploateze tehnica DLL de încărcare laterală şi să atace mai multe organizaţii.
Folosind serviciul său de informaţii despre ameninţări, Kaspersky a remarcat peste 5000 de tentative de atac în 22 de ţări, cele mai afectate fiind Italia (45,2% tentativele înregistrate), SUA (25,91%), Columbia (14,83%), Germania (3,21%) şi Mexic (2,21%).
„Bandele de ransomware şi afiliaţii lor continuă să-şi dezvolte tehnicile prin atacuri asupra organizaţiilor foarte importante, precum Colonial Pipeline şi JBS, şi asupra multor alte organizaţii din diferite ţări, încă de când s-au lansat. De data aceasta, operatorii REvil au efectuat un atac masiv asupra MSP-urilor cu mii de companii deservite în întreaga lume, infectându-le şi pe acestea. Acest caz demonstrează încă o dată cât de important este să implementăm măsuri şi soluţii adecvate de securitate cibernetică în toate nivelurile de activitate - inclusiv la nivel de furnizori şi parteneri”, spune Vladimir Kuskov, Head of Threat Exploration la Kaspersky.
Pentru a menţine organizaţiile protejate de atacurile moderne de ransomware, Kaspersky recomandă utilizarea unei soluţie fiabile de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business, care se bazează pe prevenirea exploatării, detectarea comportamentului şi folosirea unui motor de remediere care este capabil să deturneze acţiunile rău intenţionate. KESB are, de asemenea, mecanisme de autoapărare care pot preveni eliminarea acestuia de către infractorii cibernetici.
”Nu expuneţi serviciile desktop la distanţă (cum ar fi RDP) în reţelele publice decât dacă este absolut necesar şi folosiţi întotdeauna parole puternice pentru acestea. Instalaţi rapid patch-urile disponibile pentru soluţiile VPN comerciale care oferă angajaţilor acces de la distanţă şi acţionează ca gateway-uri în reţeaua companiei. Păstraţi întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizaţi pentru a preveni ransomware-ul să exploateze vulnerabilităţile”, spun experţii.
Aceştia recomandă concentrarea strategiei de apărare pe detectarea mişcărilor laterale şi exfiltrarea datelor pe internet.
”Acordaţi o atenţie specială traficului de ieşire a informaţiilor pentru a detecta conexiunile criminalilor cibernetici. Faceţi copii de rezervă în mod regulat. Asiguraţi-vă că le puteţi accesa rapid în caz de urgenţă atunci când este necesar. Protejaţi mediul corporativ şi educaţi angajaţii. Sesiunile de training vă pot ajuta”, adaugă ei.
760