6 lipca 2021

Ransomware REvil: Kaspersky wykrył ponad 5 000 prób ataków w ramach kampanii przeprowadzonej w 22 krajach

2 lipca stało się jasne, że gang ransomware REvil przeprowadził duży atak na dostawców usług zarządzanych (MSP) oraz ich klientów na całym świecie. W rezultacie tysiące firm potencjalnie padło ofiarą oprogramowania ransomware. Badacze z firmy Kaspersky zaobserwowali jak dotąd ponad 5 000 prób infekcji w Europie oraz Ameryce Północnej i Południowej.


Cybergang REvil (znany również jako Sodinokibi) to jedno z "najpłodniejszych" ugrupowań stosujących model ransomware jako usługa (RaaS). Pojawiło się ono w 2019 roku, natomiast rozgłos zyskało w ostatnich kilku miesiącach ze względu na atakowane cele oraz rekordowe zarobki osiągane w wyniku żądania okupu. W ostatnim ataku gang REvil zainfekował dostawcę oprogramowania do zarządzania usługami IT przeznaczonego dla dostawców usług zarządzanych, a jego skutki odczuło wiele firm na całym świecie. Cyberprzestępcy zainstalowali szkodliwą funkcję poprzez skrypt PowerShell, który z kolei został prawdopodobnie wykonany za pośrednictwem oprogramowania dostawcy usług zarządzanych.

Skrypt wyłączył funkcje ochrony narzędzia Microsoft Defender for Endpoint, a następnie zdekodował szkodliwy plik wykonywalny, który zawierał legalny plik binarny firmy Microsoft, starszą wersję rozwiązania Microsoft Defender oraz szkodliwą bibliotekę zawierającą ransomware REvil. Przy pomocy tej kombinacji komponentów w module ładującym atakujący zdołali wykorzystać technikę ładowania pośredniego biblioteki DLL oraz zaatakować wiele organizacji.

Przy pomocy swojej usługi Threat Intelligence Service firma Kaspersky zaobserwowała ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

Gangi ransomware oraz ich partnerzy podnoszą poprzeczkę coraz wyżej od czasu szeroko nagłośnionych ataków na Colonial Pipeline i JBS, jak również wiele innych organizacji w różnych państwach. Tym razem ugrupowanie REvil przeprowadziło masowy atak na dostawców usług zarządzanych, infekując za ich pośrednictwem tysiące firm na całym świecie - powiedział Władimir Kuskow, szef działu badań cyberzagrożeń w firmie Kaspersky. Atak ten stanowi kolejne przypomnienie, jak ważne jest stosowanie właściwych środków i rozwiązań cyberbezpieczeństwa na wszystkich etapach - także przez dostawców oraz partnerów.

Rozwiązania firmy Kaspersky zapewniają ochronę przed opisywanym zagrożeniem. Jest ono wykrywane pod następującymi nazwami:

  • UDS:DangerousObject.Multi.Generic,
  • Trojan-Ransom.Win32.Gen.gen,
  • Trojan-Ransom.Win32.Sodin.gen,
  • Trojan-Ransom.Win32.Convagent.gen,
  • PDM:Trojan.Win32.Generic (przy użyciu modułu wykrywania behawioralnego).
Szczegóły techniczne dotyczące najnowszych ataku cybergangu REvil są dostępne na stronie https://r.kaspersky.pl/VcHjl.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają organizacjom następujące działania w celu zabezpieczenia się przed współczesnymi atakami ransomware:

  • Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które jest wyposażone w technologię zapobiegania exploitom, wykrywania zachowania oraz silnik korygujący, który potrafi cofnąć szkodliwe działania. Rozwiązanie posiada również mechanizmy autoochrony, uniemożliwiające cyberprzestępcom usunięcie go z urządzenia.
  • Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, jeśli nie jest to absolutnie konieczne, i zawsze stosuj dla nich silne hasła.
  • Niezwłocznie instaluj udostępniane poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy do Twojej sieci.
  • Zawsze aktualizuj oprogramowanie na wykorzystywanych przez siebie urządzeniach w celu uniemożliwienia oprogramowaniu ransomware wykorzystania luk w zabezpieczeniach.
  • W ramach strategii obrony skoncentruj się na wykrywaniu penetracji sieci oraz wyprowadzania danych do internetu. W celu wykrycia połączeń cyberprzestępców zwróć szczególną uwagę na ruch wychodzący.
  • Regularnie wykonuj kopię zapasową swoich danych. Zadbaj o to, aby w razie potrzeby można było szybko uzyskać do niej dostęp.
  • Wykorzystuj najnowsze informacje o cyberzagrożeniach, aby orientować się w taktykach, technikach i procedurach wykorzystywanych przez cyberprzestępców.
  • Stosuj zaawansowane rozwiązania, takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim atakujący osiągną swoje ostateczne cele.
  • Chroń środowisko firmowe oraz edukuj pracowników. Pomocne będą kursy szkoleniowe, np. Kaspersky Automated Security Awareness Platform.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.