Η Ουκρανική εταιρεία λογισμικού και πάροχος υπηρεσιών πληροφορικής SoftServe έπεσε θύμα επίθεσης ransomware την 1η Σεπτεμβρίου που ενδέχεται να έχει οδηγήσει σε κλοπή του πηγαίου κώδικα των πελατών τους.
Με περισσότερους από 8.000 υπαλλήλους και 50 γραφεία παγκοσμίως, η SoftServe είναι μία από τις μεγαλύτερες εταιρείες της Ουκρανίας και προσφέρει ανάπτυξη λογισμικού και συμβουλευτικές υπηρεσίες πληροφορικής.
Οι ειδήσεις για μια διαδικτυακή επίθεση στο SoftServe άρχισαν να κυκλοφορούν για πρώτη φορά στο κανάλι «Telegram DС8044 Kyiv Info», όπου κοινοποιήθηκε ένα φερόμενο μήνυμα που έστειλε η εταιρεία στους υπαλλήλους της.
“Σήμερα στις 1 π.μ. η SoftServe δέχτηκε επίθεση. Οι hackers έχουν πρόσβαση στην υποδομή της εταιρείας και κατάφεραν να ξεκινήσουν κρυπτογράφηση ransomeware μαζί με κάποιο άλλο κακόβουλο λογισμικό.”
Σε μια μεταγενέστερη δήλωση σε σελίδα ειδήσεων τεχνολογίας της Ουκρανίας, η SoftServe επιβεβαίωσε ότι είχε συμβεί μια επίθεση, που τους έκανε να αποσυνδέσουν τους πελάτες τους για να αποτρέψουν την εξάπλωσή της.
“Ναι, υπήρξε επίθεση σήμερα. Οι πιο σημαντικές συνέπειες της επίθεσης είναι η προσωρινή απώλεια λειτουργικότητας ενός μέρους του συστήματος αλληλογραφίας και η διακοπή ορισμένων από τα βοηθητικά περιβάλλοντα δοκιμών. Από όσο μπορούμε να εκτιμήσουμε, αυτό είναι το μεγαλύτερο αντίκτυπο της επίθεσης και τα άλλα συστήματα ή δεδομένα πελατών δεν επηρεάστηκαν.”
“Για να αποφευχθεί η εξάπλωση της επίθεσης, απομονώσαμε ορισμένα τμήματα του δικτύου μας και περιορίσαμε την επικοινωνία με τα δίκτυα πελατών. Ετοιμάζουμε ένα μήνυμα στους πελάτες μας για την κατάσταση. Ταυτόχρονα με την επανέναρξη των υπηρεσιών, ερευνούμε το ίδιο το περιστατικό, οπότε δεν είμαστε έτοιμοι να σχολιάσουμε ποιος ακριβώς το έκανε αυτό “, δήλωσε ο Αδριανάν Παβλίτσεβιτς, Ανώτερος Αντιπρόεδρος Πληροφορικής της SoftServe.
Σύμφωνα με την αναφορά του περιστατικού της SoftService, οι επιτιθέμενοι εκμεταλλεύτηκαν μια ευπάθεια DLL που παραβίαζε τη νόμιμη εφαρμογή Rainmeter για να αναπτύξουν το ransomware τους.
Το Rainmeter είναι ένα νόμιμο εργαλείο προσαρμογής των Windows που φορτώνει ένα Rainmeter.dll κατά την εκκίνηση.
Κατά τη διάρκεια της επίθεσης, οι hackers αντικατέστησαν το νόμιμο Rainmeter.dll με μια κακόβουλη έκδοση που συντάχθηκε από τον πηγαίο κώδικα της εφαρμογής.
Σύμφωνα με τις ανιχνεύσεις της VirusTotal, το Rainmeter.dll αναγνωρίζεται ως Win32/PyXie.A.
Σε μια αναφορά της BlackBerry από το 2019, το PyXie είναι ένα trojan απομακρυσμένης πρόσβασης Python (RAT) που είναι γνωστό ότι εκμεταλλεύεται ευπάθειες με κακόβουλα DLL σε άλλο λογισμικό όπως το LogMeIn και το Google Update.
Οι ερευνητές της BlackBerry δηλώνουν ότι έχουν δει στοιχεία για το ότι αυτό το RAT έχει χρησιμοποιηθεί σε επιθέσεις ransomware.
