Internetiniai nusikaltėjai naudoja Webroot SecureAnywhere consolę Sodinokibi viruso platinimui

Sodinokibi ransomware kūrejai nulaužė Webroot SecureAnywhere valdomų paslaugų tiekėjų konsolę viruso platinimui

Sodinokibi ransomware virusas platinimas per Webroot SecureAnywhere konsolę po to, kai nusikaltėliai gauna prieigą prie nuotolinio valdymo priemonių

Trys internetiniai nusikaltėliai, kurie sukūrė Sodinokibi ransomware virusą, įsilaužė į mažiausiai tris valdomų paslaugų tiekėjus, kitaip žinomus kaip „Managed Service Providers (MSPs)” ir panaudojo nuotolinio valdymo priemones kenkėjiškos programos platinimo tikslais per Webroot SecureAnywhere consolę. Ši naujiena pasiekė žiniasklaidą kai vienas susirūpinęs Reddit varototojas atskleidė kompromitaciją „MSP” žinučių lentoje.

Tačiau vėliau taip pat paaiškėjo, kad Kaseya VSA MSP tiekėjas taip pat buvo paveiktas ir naudojamas Sodinokibi ransomware viruso platinimui.

Paveiktoks kosolės padejo internetiniams nusikaltėliams įdiegti „1488.bat” komponentą kuris sugebėjo sustabdyti jos veikimą – šis failas taip pat buvo naudojamas įžymiojo GandCrab viruso platinimui. Nepaisant to, Sodinokibi ransomware virusas buvo įdiegtas naudojantis pavogtais prisijungimo duomenimis, o ne naudojantis programos pažeidžiamomis vietomis (angl. „vulnerability”),

Nusikaltėliai vogė informaciją per nuotolinį darbalaukį

Remiantis apsaugos firmos Huntress Lab vadovo Kyle Hanslovan padarytomis išvadomis, nusikaltėliai sugebėjo pažeisti „MSP” serverius nutolinio darbalaukio sujungimo pagalba ir tada padidino jų privilegijas iki administratoriaus lygio, kurie leido internetiniams nusikaltėliams ištrinti kompiuterio apsaugos programas, – tokias kaip Webroot arba ESET.

Po antivirusinių programų išjungimo, nusikaltėliai nuotoliniu būdu prisijungė prie „MSP” klientų prietaisų, kurie turėjo veikiančią Webroot SecureAnywhere consolę. Ši priemonė buvo vėliau naudojama PowerShell komandų diegimui ir kenkėjiškam Sodinokibi turinio įrašymui iš Pastebin puslapių, kuris buvo nedelsiant pašalintas (tačiau nepavojinga versija buvo paskelbta Github puslapyje).

Remiantis neseniai atlikto trumpo tyrimo rezultatais, išaiškėjo, kad Webroot yra itin populiarus internetinių nusikaltėlių taikinys nuo tada, kai jo consolė suteikė galimybę administratoriams parsiųsti ir paleisti failus ant kompiuterio nuotoliniu būdu. Nusikaltėliai, kurie naudoja šią funkciją, gali lengvai užkrėsti vartotojus kenkėjiškomis programomis.

Webroot, norėdami apsaugoti vartotojus nuo pavojaus, įdiegė dviejų faktorių autentifikavimo funkciją

Po įvykusio incidento Webroot pradėjo informuoti savo vartotojus, teigdami, kad „nukentėjusiųjų skaičius yra mažas”, tačiau kompanija dirba, kad sutvarkytų situaciją ir užtikrintų klientų apsaugą Internete.

Elektroninio pašto žinutėje, išsiųstoje vartotojams, Webroot teigia, kad visi paveikti klientai turi įjungti aukštesnio lygio autentifikaciją, kad išvengtų bet kokio galimo pavojaus:

Neseniai, Webroot, pažengusių virusų valymo komanda, atrado, kad mažas vartotojų skaičius buvo paveiktas internetinių nusikaltėlių, kurie galėjo būti sustabdyti, laikantis pastovesnės internetinės higienos. Mes tuoj pat pradėjome dirbti su tais klientais, kad ištaisyti padarytą žalą.

Kaip būdą užtikrinti, kad visi mūsų klientai naudotųsi atitinkamomis apsaugos priemonėmis, mes inicijavome automatinį konsolės atjungimą 3 valandą ryto EDT, birželio 20 dieną, ir diegiame būtiną aukštesnio lygio autentifikacijos reikalavimą Webroot valdymo konsolėje.

Sodinokibi ransomware yra ganėtinai naujas virusas (pirmą kartą jis buvo pastebėtas saugumo ekspertų 2019 metų balandžio pabaigoje), tačiau tai nėra pirmas kartais, kai jo kūrėjai naudoja „MSP” ir nuotolinio valdymo priemones tam, kad užkrėstų vartotojus virusais.

Paveikti Webroot vartotojai šiuo metu yra priversti įjungti sudėtingesnės autentifikacijos apsisaugojimo priemones, nors tai nereiškia, kad panašūs metodai negali būti naudojami kitose konsolėse.