Hakerzy użyli Webroot SA do ataku szkodnikiem Sodinokibi
#1
To niedobra wiadomość dla użytkowników produktów Webroot - wg informacji opublikowanej pierwotnie na Reddit hakerzy użyli zdalnych narzędzi do dystrybucji ransomware Sodinokibi za pomocą konsoli Webroot SecureAnywhere. Nieco więcej w cytacie

Cytat:Threat actors behind Sodinokibi ransomware managed to hack into at least three managed service providers (MSPs) and used remote management tools to distribute the malicious malware payload via the Webroot SecureAnywhere console. The news came to light when Reddit user posted the revelation on the MSP message board.
Among other affected tools, reports claim that Kaseya VSA was also affected by the compromise and was used to deliver Sodinokibi ransomware.
After the compromise, attackers managed to deploy “1488.bat” script, which is very similar to the one used in GandCrab ransomware attacks, which also disabled the management console. Nevertheless, in Sodinokibi ransomware case, the source of the incident was compromised credentials rather than the vulnerability.

Hackers managed to breach through via the Remote Desktop
According to findings by Kyle Hanslovan, a CEO of security firm Huntress Lab, the hackers managed to breach MSPs servers with the help of Remote Desktop connection and then elevated their privileges to those of administrator's, which let them uninstall security applications, such as Webroot or ESET.
After disabling anti-malware software, threat actors remotely connected to MSPs clients' machines that ran Webroot SecureAnywhere console. This tool was then used to run PowerShell scripts and install the malicious Sodinokibi payload from Pastebin page, which was immediately removed upon the discovery (although non-malicious version was posted on Github).
According to the limited research that was conducted so far, it was discovered that Webroot is the most likely target since its console allows administrators to download and execute files on machines remotely. With hackers hijacking it, infecting users with malware becomes a much easier task.

Jak widać Eset też może być potencjalnie wykorzystany w tym ataku, ale nie ma sygnałów na ten temat. Webroot póki co poza oświadczeniem wysoce zaleca korzystanie z dostępnej teraz dwuetapowej weryfikacji przy logowaniu.

Poniżej źródło cytatu wraz linkami do dalszych źródeł w temacie

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
(07.07.2019, 17:57)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

To niedobra wiadomość dla użytkowników produktów Webroot - wg informacji opublikowanej pierwotnie na Reddit hakerzy użyli zdalnych narzędzi do dystrybucji ransomware Sodinokibi za pomocą konsoli Webroot SecureAnywhere. Nieco więcej w cytacie

Cytat:Threat actors behind Sodinokibi ransomware managed to hack into at least three managed service providers (MSPs) and used remote management tools to distribute the malicious malware payload via the Webroot SecureAnywhere console. The news came to light when Reddit user posted the revelation on the MSP message board.
Among other affected tools, reports claim that Kaseya VSA was also affected by the compromise and was used to deliver Sodinokibi ransomware.
After the compromise, attackers managed to deploy “1488.bat” script, which is very similar to the one used in GandCrab ransomware attacks, which also disabled the management console. Nevertheless, in Sodinokibi ransomware case, the source of the incident was compromised credentials rather than the vulnerability.

Hackers managed to breach through via the Remote Desktop
According to findings by Kyle Hanslovan, a CEO of security firm Huntress Lab, the hackers managed to breach MSPs servers with the help of Remote Desktop connection and then elevated their privileges to those of administrator's, which let them uninstall security applications, such as Webroot or ESET.
After disabling anti-malware software, threat actors remotely connected to MSPs clients' machines that ran Webroot SecureAnywhere console. This tool was then used to run PowerShell scripts and install the malicious Sodinokibi payload from Pastebin page, which was immediately removed upon the discovery (although non-malicious version was posted on Github).
According to the limited research that was conducted so far, it was discovered that Webroot is the most likely target since its console allows administrators to download and execute files on machines remotely. With hackers hijacking it, infecting users with malware becomes a much easier task.

Jak widać Eset też może być potencjalnie wykorzystany w tym ataku, ale nie ma sygnałów na ten temat. Webroot póki co poza oświadczeniem wysoce zaleca korzystanie z dostępnej teraz dwuetapowej weryfikacji przy logowaniu.

Poniżej źródło cytatu wraz linkami do dalszych źródeł w temacie

[Aby zobaczyć linki, zarejestruj się tutaj]

a jak to się ma dla końcowego użytkownika av od Webrota? Jak mam zainstalowany AV to mam się obawiać?
Wisevector v3,05
Odpowiedz
#3
(07.07.2019, 18:47)witek21 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

a jak to się ma dla końcowego użytkownika av od Webrota? Jak mam zainstalowany AV to mam się obawiać?
Nie powinieneś się obawiać, bo to dotyczy raczej klientów komercyjnych, ale chyba powinieneś bacznie śledzić informacje w mediach i niestety rozejrzeć się za alternatywą po wygaśnięciu licencji. WSA miał tu na forum grono zwolenników i wielu mu kibicowało, ale to chyba już przeszłość.
Spore info na temat tego incydentu tutaj

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Za werbotem nigdy nie przepadałem zawsze go lokowałem pomiędzy AVG, a Avastem szału nie ma....
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#5
A ja w sumie lubiłem ten program, choć nie miałem okazji, by sprawdzić jego skuteczność. Szkoda, że tak głupio wpadli...to w końcu znacząca firma na rynku zwłaszcza angloamerykańskim.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
(10.07.2019, 16:47)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

A ja w sumie lubiłem ten program, choć nie miałem okazji, by sprawdzić jego skuteczność. Szkoda, że tak głupio wpadli...to w końcu znacząca firma na rynku zwłaszcza angloamerykańskim.

Dodam od siebie, że to nie jest wina producenta. Firma outsourcingowa nie zabezpieczyła sobie dostępu do konsoli, więc sami są sobie winni.
Webroot był tylko środkiem do celu. Trzeba przyznać, że bardzo pomysłowym.
Odpowiedz
#7
No właśnie...i całe odium spadło na firmę, którą ktoś miał reprezentować i w jej imieniu działał. Nie ma 100% możliwości sprawdzić wcześniej takich rzeczy, dopóki coś złego się nie stanie. O ile pamiętam podobnie z certyfikatami wpadł tak kiedyś Comodo i Symantec...i pewnie jeszcze inni usługodawcy, o których nie usłyszymy Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Pracując samemu w firmie outsourcingowej dziwię się, że tak rzadko takie rzeczy wychodzą Tongue
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości