Xakep #305. Многошаговые SQL-инъекции
В минувшие выходные один из крупнейших интернет-провайдеров Аргентины, компания Telecom Argentina, пострадал от атаки шифровальщика REvil (Sodinokibi). Малварь заразила около 18 000 компьютеров, и теперь злоумышленники требуют от компании выкуп в размере 7,5 млн долларов США.
Издание ZDNet пишет, что атакующим удалось получить права администратора домена, благодаря чему шифровальщик быстро распространился на 18 000 рабочих станций. Как ни странно, данный инцидент не привел к проблемам с интернет-соединением для клиентов провайдера и не сказался на работе услуг телефонии и кабельного телевидения. Впрочем, из-за последствий атаки до сих пор не работает ряд официальных сайтов Telecom Argentina.
Несколько сотрудников пострадавшей компании рассказывают в социальных сетях, как провайдер справляется с кризисом. Похоже, сразу после обнаружения атаки компания стала предупреждать сотрудников о происходящем, просила их ограничить взаимодействие с корпоративной сетью, не подключаться к внутренней сети VPN и не открывать электронные письма с архивами во вложениях.
Журналисты приписывают ответственность за эту атаку хак-группе REvil, основываясь на удаленном из Twitter сообщении, которое демонстрировало скриншот сайта вымогателей. Судя по этому изображению, злоумышленники потребовали от компании выкуп в размере 109345,35 Monero (примерно 7,53 млн долларов США). Хакеры обещали, что в случае невыплаты эта сумма удвоится через три дня, что делает данное требование выкупа один из наиболее крупных в текущем году.
Официальные представители Telecom Argentina пока не прокомментировали ситуацию, и неизвестно, намерена ли компания платить вымогателям.
Интересно, что, по данным местных СМИ, интернет-провайдер считает отправной точкой этой атаки вредоносное вложение из письма, полученного одним из сотрудников. Это не совсем соответствует обычным атакам REvil, так как группировка как правило проникает в сети компаний через незащищенное сетевое оборудование. В частности, злоумышленники активно эксплуатируют уязвимости в Pulse Secure и Citrix VPN.
Впрочем, специалисты ИБ-компании Bad Packets сообщили журналистам ZDNet, что Telecom Argentina не только работала с серверами Citrix VPN, но среди них были системы, уязвимые перед проблемой CVE-2019-19781 (хотя патч вышел много месяцев назад).