SOS :: Security Operation Space
19 марта, вторник, 00:00
|
Hot News:

Атака на MSP-провайдеров вызвала проблемы у их клиентов

21 июня 2019 г., пятница, 16:38

Преступники получили доступ к системам удаленного управления и установили на десятки компьютеров шифровальщик Sodinokibi.

Сразу несколько компаний стали жертвами кибервымогателей в результате атаки как минимум на трех MSP-провайдеров. Злоумышленники получили доступ к консолям удаленного управления Webroot и Kaseya, чтобы установить организациям шифровальщик Sodinokibi.

О проблеме стало известно из дискуссии на Reddit. Представитель компании UBX Cloud, занимающейся поддержкой и консультацией MSP-провайдеров, сообщил о возможной атаке на одного из партнеров организации. Как стало известно позже, преступники взломали как минимум трех поставщиков IT-услуг и доставили их клиентам вредоносное ПО.

По имеющимся данным, вымогатели проникли в инфраструктуру MSP-провайдеров через незащищенное RDP-соединение, повысили свои привилегии в системе и отключили защитное ПО производства Webroot и ESET. После этого, предположительно при помощи скомпрометированных учетных данных, они получили доступ к аккаунтам компаний в двух программах удаленного управления IT-инфраструктурой — Kaseya VSA и Webroot SecureAnywhere.

По данным компании Huntress Labs, привлеченной к расследованию инцидента, через Webroot злоумышленники запускали на устройствах клиентов MSP-компаний вредоносный PowerShell-скрипт, загружающий в систему зловреда. Полезной нагрузкой предположительно является шифровальщик Sodinokibi — относительно новый представитель своего класса, первые атаки которого пришлись на весну 2019 года.

Через консоль Kaseya преступники загружали и исполняли скрипт 1488.bat, также доставлявший Sodinokibi на устройства жертв. Представители Huntress Labs отмечают, что через файлы с похожими названиями в мае распространялся вымогатель GandCrab. У двух кампаний есть и другие общие черты: в обоих случаях злоумышленники отключали защитные решения и использовали ПО для удаленного управления системой. Правда, майские атаки проводились через программу ConnectWise Control.

Узнав об инциденте, разработчики Webroot включили двухфакторную аутентификацию для авторизации в консоли управления по умолчанию. Всех пользователей системы принудительно разлогинили, чтобы лишить злоумышленников доступа к скомпрометированным аккаунтам.

Однако о пресечении вредоносной кампании говорить пока рано. Точное количество пострадавших машин и компаний тоже еще не установлено.

По прогнозам экспертов «Лаборатории Касперского», атаки через цепочку поставок останутся одним из ключевых трендов ближайшего времени. Этот метод позволяет преступникам разом охватить большое количество жертв и доставить им полезную нагрузку без лишних подозрений.

Прогноз подтверждается: исследователи обнаружили уже несколько громких кампаний через поставщиков ПО и IT-услуг. В феврале злоумышленники взломали инфраструктуру MSP-провайдера, установив шифровальщик GandCrab 1500 его клиентам. Позже специалисты «Лаборатории Касперского» выявили масштабную атаку на сервис обновления ASUS, нацеленную как минимум на 600 компьютеров. Однако косвенными жертвами кампании стали десятки тысяч пользователей, которые также скачали вредоносный дистрибутив.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.083
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.