Ransomware buzilgan boshqariladigan xizmat provayderlari orqali tarqaladi
Sodinokibi operatorlari boshqariladigan xizmat ko’rsatuvchi provayderlarni buzib kirgan va o’z mijozlari tizimlariga zarar etkazish uchun Webroot SecureAnywhere dan foydalanmoqda.
Zararli dasturiy ta’minot operatorlari kamida uchta boshqariladigan xizmat ko’rsatuvchi provayderlar (MSP) infratuzilmasini buzgan va o’zlarining masofaviy boshqaruv vositalaridan (xususan, Webroot SecureAnywhere konsoli) o’z mijozlarining kompyuterlarini to’lov dasturi bilan zararlash uchun foydalangan. INFEKTSION haqidagi birinchi xabarlar 20-iyun, payshanba kuni Reddit forumida MSPlarga bag‘ishlangan. Huntress Laboratoriyasi rahbari Kayl Xanslovan bir nechta provayderlarga o’z tadqiqotlarida yordam berdi.
Hanslovan tushuntirganidek, tajovuzkorlar provayderlar tizimlarini buzilgan masofaviy ish stoli (RDP) orqali buzib, ularning imtiyozlarini oshirib, ESET va Webroot kabi antivirus mahsulotlarini qo‘lda olib tashlashgan.
Hujumning ikkinchi bosqichida tajovuzkorlar Webroot SecureAnywhere akkauntlarini qidirdi, bu provayderlar o’z mijozlari tarmoqlaridagi masofaviy ish stantsiyalarini boshqarish uchun foydalanadigan konsol. Ushbu konsoldan foydalanib, tajovuzkorlar Sodinokibi to’lov dasturini yuklab olish va amalga oshirish uchun masofaviy ish stantsiyalarida PowerShell skriptini bajardilar.
Sodinokibi nisbatan yangi zararli dastur bo‘lib, birinchi marta joriy yilning aprel oyi oxirida topilgan. O’sha paytda tajovuzkorlar uni Oracle WebLogic-dagi zaiflik orqali tarqatishgan.
Hujumlar haqida birinchi xabarlar paydo bo’lgan kunning o’zida Webroot SecureAnywhere hisoblari uchun ikki faktorli autentifikatsiyani majburan yoqishni boshladi. Konsol ikki faktorli autentifikatsiya mexanizmini o’z ichiga oladi, lekin u sukut bo’yicha o’chirib qo’yilgan.
