Сегодня в нашем дайджесте мы расскажем о последствиях нашумевшей атаки REvil на Kaseya VSA, причем не только для компаний, которые использовали популярный сервис, но и для тех, кто вообще не устанавливал подобное ПО. Кроме этого вы узнаете о расширении активности TrickBot и о новых версиях успешно атаковавших в начале 2021 года шифровальщиков. Также в нашем дайджесте — история о том, как злоумышленники паразитируют на успешных атаках своих “коллег по цеху”.

REvil атакует сразу несколько сотен компаний

Группа REvil провела успешную атаку “supply chain” на сервера Kaseya VSA. В результате шифровальщик попал в сети сотен компаний. По некоторым оценкам среди жертв оказалось более тысячи представителей малого и среднего бизнеса. Подробнее об этой атаке мы уже писали в нашем блоге.

Kaseya отключила все облачные серверы VSA и рекомендовала пользователям локальных VSA также немедленно отключить соответствующие системы. И все это потому, что первым действием хорошо спланированной атаки было “отключение” администратора от системы. В результате при промедлении можно было потерять контроль над зараженными серверами. А это подразумевает появление дополнительных проблем. Например, установить патч будет сложнее, если доступ к серверу уже утерян.

Тот факт, что Ransomware было вшито непосредственно в Kaseya VSA помог атакующим быстро атаковать большое количество жертв. Кстати, подобным образом (только еще тщательнее) была организована атака на SolarWinds. В В результате REvil удалось быстро заразить как минимум 100 компаний. Атака на Kaseya показала, что масштаб может быть намного больше, и подобные закладки в ПО уже в ближайшем будущем могут привести к еще более масштабным заражениям. 

При этом перед всем сообществом возникает вопрос: как обеспечить защиту от подобных инцидентов, ведь практически каждая компания может стать “первой жертвой”, пока уязвимость еще не была обнаружена? Единственный ответ, который выглядит логичным — использование комплексных решений в области ИБ, которые могли бы заблокировать работу компонентов вредоносного ПО или самого Ransomware еще до шифрования или компрометации файлов.

Кибератака заставила шведскую бакалейную компанию закрыть 500 точек

Coop Sweden, одина из ведущих шведских торговых сетей, закрыла около 500 из 800 фирменных магазинов после атаки REvil на серверы Kaseya VSA. И все дело в том, что системы POS и средства самообслуживания в магазинах перестали работать. Вы спросите (и совершенно справедливо) — “строчкой выше вы уже говорили об атаке на Kaseya, разве нет?” И будете абсолютно правы!

Но в данном случае есть важное отличие: Coop не использует Kaseya VSA в своей работе! Но эти сервисы были необходимы для одного из поставщиков SaaS. В результате вредоносное ПО попало в сеть Coop, хотя администраторы компании ничего не подозревали, и никак не могли отреагировать на предложение “отключить серверы VSA”, ведь у них просто нет таких серверов!

А проблема заключается в том, что среди 1500 компаний, которые были атакованы REvil с использованием уязвимости нулевого дня, как минимум 30 оказались сервис-провайдерами. А это значит, что рассчитывать на безопасность нельзя даже со стороны доверенных поставщиков ПО и сервисов.

TrickBot вернулся к своим корням

Наблюдение за угрозами показало, что злоумышленники начали снова использовать TrickBot для атак “man-in-the-browser”. Одновременно с этим наблюдались попытки заражать системы новыми видами Ransomware.

По информации Департамента Юстиции США TrickBot был использован, чтобы заразить компьютеры и украсть учетные данные миллионов жертв по всему миру. Появление новых модулей webinject и вариантов вредоносного ПО может говорить о том, что группа, стоящая за TrickBot, стремится расширить свою платформу malware-as-a-service. В результате нечистоплотные предприниматели смогут использовать разные инжекты и ransomware для атак на своих конкурентов.

Кстати, практика обновления и модификации инструментов для кибератак является нормой на сегодняшний день. И практически каждый раз новые версии вредоносного ПО получают несколько модифицированный код, чтобы обходить обнаружение при помощи сигнатурных методов. Поэтому, чтобы не словить новую версию Ransomware через TrickBot, необходимо использовать средства кибербезопасность с бихевиористической защитой. 

Ransomware-зомби: Создание Ransomware становится максимально простым

Группа Babuk Locker, казалось бы, “ушла на пенсию” после двойного успешного вымогательства в апреле 2021 года. Однако на практике оказалось, что злоумышленники сменили модель работы и взяли новое имя. Либо их утилита для создания Ransomware “на заказ” была использована снова, но уже другой группой кибермошенников. 

В любом случае новое Ransomware с признаками Babuk появилась на горизонте на прошлой неделе. Однако в этот раз речь идет уже не о выкупах в миллионы долларов. Теперь злоумышленники хотят хотят получить 0.006 Bitcoin — то есть примерно $200 тысяч по курсу на тот момент. Независимо от того, стоят за атакой те же люди или новая группа, в новых сообщениях о выкупе деятели называют себя "Babuck Locker", добавив к старому названию еще одну букву “c.” 

Паразитировать на чужой атаке

Еще в пандемию мы узнали, что нет никаких преград для действий кибермошенников по эксплуатации острых социальных тем, событий из мировой повестки и так далее. Тем самым киберпреступники стараются подтолкнуть пользователей к тому, чтобы они перешли по подозрительной ссылке...без лишних подозрений. И по мотивам атаким на Kaseya VSA, с которой мы начали этот пост, было запущено еще несколько кампаний.

Вредоносные электронные письма с “патчами для устранения уязвимости” стали поступать самым разным адресатам. Во вложении к письму обычно находится фальшивый файл “securityUpdate.exe”, который на самом деле является ссылкой на вредоносный сайт. Запустив этот файл, жертва загружает вредоносное ПО прямо с сервера.

Кончено, атакующие рискуют, закладывая во вложение непосредственно исполняемый файл — многие почтовые системы вообще не допускают такие вложения до адресатов. Но, увы, подобные политики встречаются не везде. А в случае данного конкретного примера жертвы получали достаточно серьезный payload — Cobalt Strike Backdoor.