Сразу несколько компаний стали жертвами кибервымогателей в результате атаки как минимум на трех MSP-провайдеров. Злоумышленники получили доступ к консолям удаленного управления Webroot и Kaseya, чтобы установить организациям шифровальщик Sodinokibi.

О проблеме стало известно из дискуссии на Reddit. Представитель компании UBX Cloud, занимающейся поддержкой и консультацией MSP-провайдеров, сообщил о возможной атаке на одного из партнеров организации. Как стало известно позже, преступники взломали как минимум трех поставщиков IT-услуг и доставили их клиентам вредоносное ПО.

По имеющимся данным, вымогатели проникали в инфраструктуру жертв через незащищенные консоли удаленного управления Kaseya VSA и Webroot SecureAnywhere и отключали защитное ПО производства Webroot и ESET. Доступ к аккаунтам MSP-провайдеров они получили, предположительно, при помощи скомпрометированных учетных данных.

По данным компании Huntress Labs, привлеченной к расследованию инцидента, через Webroot злоумышленники запускали на устройствах клиентов MSP-компаний вредоносный PowerShell-скрипт, загружающий в систему зловреда. Полезной нагрузкой предположительно является шифровальщик Sodinokibi — относительно новый представитель своего класса, первые атаки которого пришлись на весну 2019 года.

Через консоль Kaseya преступники загружали и исполняли скрипт 1488.bat, также доставлявший Sodinokibi на устройства жертв. Представители Huntress Labs отмечают, что через файлы с похожими названиями в мае распространялся вымогатель GandCrab. У двух кампаний есть и другие общие черты: в обоих случаях злоумышленники отключали защитные решения и использовали ПО для удаленного управления системой. Правда, майские атаки проводились через программу ConnectWise Control.

Узнав об инциденте, разработчики Webroot включили двухфакторную аутентификацию для авторизации в консоли управления по умолчанию. Всех пользователей системы принудительно разлогинили, чтобы лишить злоумышленников доступа к скомпрометированным аккаунтам.

Однако о пресечении вредоносной кампании говорить пока рано. Точное количество пострадавших машин и компаний тоже еще не установлено.

По прогнозам экспертов «Лаборатории Касперского», атаки через цепочку поставок останутся одним из ключевых трендов ближайшего времени. Этот метод позволяет преступникам разом охватить большое количество жертв и доставить им полезную нагрузку без лишних подозрений.

Прогноз подтверждается: исследователи обнаружили уже несколько громких кампаний через поставщиков ПО и IT-услуг. В феврале злоумышленники взломали инфраструктуру MSP-провайдера, установив шифровальщик GandCrab 1500 его клиентам. Позже специалисты «Лаборатории Касперского» выявили масштабную атаку на сервис обновления ASUS, нацеленную как минимум на 600 компьютеров. Однако косвенными жертвами кампании стали десятки тысяч пользователей, которые также скачали вредоносный дистрибутив.

Категории: Вредоносные программы, Главное, Хакеры