Co je Sodinokibi Ransomware a jak se proti němu chránit?
TheSodinokibi ransomwarebalíček je a Ransomware-as-a-Service Systém. Takových ransomwarových virů už bylo několik a Sodinokibi je momentálně jediný RaaS operační systém
Firmy jsou obeznámeny s Software jako služba koncept ( SaaS ). V tomto modelu cloudových služeb mají předplatitelé přístup k softwaru, který chtějí, aniž by jej hostovali na svých serverech. Součástí balení je většinou i úložný prostor pro provozní data.
SaaS je ideální model pro hackerské týmy kteří chtějí spolupracovat s jinými skupinami, aniž by sdíleli jejich kód. Místo posílání svých programů druhému týmu vytvářející hackeři zřídili portál. To je hostitelem virového balíčku a spustí jej na vyžádání, jakmile uživatel zadá parametry pro útok, jako je soubor se seznamem e-mailů, na které se má odeslat.
Model RaaS není úplně stejný jako SaaS, protože není otevřený všem. Vlastnící skupina hackerů hledá partnery mezi skupiny, které chtějí provádět terénní a výzkumné cíle. Vývojáři poté poskytli dalším týmům přístup k jejich RaaS pro jednoho konkrétního a souhlasili s útočnou kampaní. Když dojde k útoku, obě skupiny sdílet platbu která je přijata.
RaaS útoky
Mnoho kampaní zaměřených na útoky ransomwaru zahrnuje odesílání stovek tisíc e-mailů s instalačním programem maskovaným v dokumentu jako příloha . Hackeři provozující tato schémata hrají hru s čísly. Odhadují, že určité procento příjemců uvěří podvodu v e-mailové zprávě. Procento z tohoto čísla otevře přílohu a aktivujte instalační program . Z těch obětí, které se nakazí, se část rozhodne zaplatit výkupné.
Hromadný mailshot Útoky ransomwaru jsou obvykle zaměřeny na širokou veřejnost a požadují relativně nízké výkupné – někdy až 10 USD. Ransomwarové kampaně zaměřené na velké korporace musí být mnohem sofistikovanější. Jejich nastavení a zapojení zabere spoustu času doxing osoba, která pracuje v oboru. Hackerům pracujícím na těchto kampaních může trvat měsíce, než prozkoumají organizaci a lidi, kteří v ní pracují. Mapují organizační hierarchii a hledají cíl, který bude mít zvýšená přístupová oprávnění .
Cílené Ransomwarové kampaně zaberou spoustu času a vyžadují odborné dovednosti. Sklízejí však také velmi vysoké odměny za žihadlo, které daleko převyšuje množství peněz, které lze vydělat podvodem mnoha lidí za malé množství peněz za zásah.
Ransomware Sodinokibi se používá pro cílené, útoky vysoké hodnoty . Zahrnuje sofistikovaný software dodávaný zkušenými programátory v jednom týmu s několika specializovanými skupinami podvodníků pro sociální profilování. Každý tým se zaměřuje na své základní dovednosti.
Odkud pochází ransomware Sodionokibi?
Sodinokibi je také známý jako Ransom Evil a REvil . Hackerský tým za tím je identifikován se stejným jménem. Tato jména vymýšlejí analytici kybernetické bezpečnosti. Samotný tým se ve svých útocích nijak neidentifikuje.
Skupina REvil je jedním z méně známých hackerských týmů. Jedna věc, která je o tom známá, je, že skupina sídlí v Rusko . Analytici kybernetické bezpečnosti mají podezření, že skupina REvil je obnovením hackerského týmu GandCrab. Je to proto, že REvil se objevil v dubnu 2019, těsně předtím GandCrab oznámila její rozpuštění. Předpokládá se, že tým hackerů GandCrab je zodpovědný za přibližně 40 procent všech ransomwarových infekcí na světě k dnešnímu dni. Byli předními odborníky v oboru a výjimečné dovednosti skupiny Sodinokibi je další známkou toho, že byli kdysi členy GandCrab.
Ruská vojenská rozvědka, GRU , spolupracuje s několika hackerskými týmy na výrobě zbraní pro svou strategii hybridní války. Ne, Petya , vyvinutý společností Písečný červ a BadRabbit, z BlackEnergy skupina, jsou dva příklady tohoto vzorce, který oba vedly k výkupným útočným kampaním s cílem podkopat bezpečnost Ukrajiny.
Sodinokibi ransomware není součástí tohoto syndikátu hybridních válek. Je produktem an nezávislý skupina hackerů, která je motivována ziskem. Software však vykazuje některé typické rysy ruského malwaru, což je způsob, jakým se analytici dokázali usadit na pravděpodobném zdroji ransomwaru.
Šifrovací program vložený do softwarového balíčku nebude fungovat na cíle, pokud zjistí, že systémový jazyk je nastaven na ruštinu nebo jeden z jazyků států bývalého Sovětského svazu. Tato výjimka je velmi typická pro ruský malware. To je pravděpodobně méně z patriotismu a spíše z pragmatismu. Ruské úřady zřídkakdy stíhají hackery, pokud neútočí v Rusku nebo u některého z jeho spojenců.
Jak útok Sodinokibi funguje?
Kód ransomwaru Sodinokibi je velmi dobře napsáno, a jeho struktura ztěžuje detekci. Na rozdíl od většiny ransomwaru je celý program soběstačný – nevolá API na vzdálených serverech. To odstraňuje jeho náchylnost k mnoha AVs hledajícím vlastnosti. Systém vyžaduje Oprávnění správce spustit, a proto útočníci potřebují zacílit jeho doručení na konkrétní uživatelský účet v rámci podniku.
Cílový uživatel je lákán řadou phishingových e-mailů, z nichž každý obsahuje odkaz údajně pro nezbytné stažení. Útoky jsou obvykle dobře prozkoumány a každý e-mail je psán samostatně, takže téma jeho obsahu může být na jakékoli téma. Počáteční stahování je napsáno v J avaScript, a když na něj uživatel dvakrát klikne, program se spustí s WScript .
Protože JavaScript běží z kódu spíše než z kompatibilní verze, kód Sodinokibi je míchaný a dekóduje se postupně během běhu programu. V kódu je také několik rutin PowerShell, které jsou také kódované. Systém zahrnuje procesy, které se mají schovat Řízení přístupu uživatelů kontroly (UAC).
Ransomware zneužívá an Oracle WebLogic Server zranitelnost dostat se do počítače. Jakmile je provozován na jednom zařízení v síti, může se laterálně přesouvat transportními službami WebLogic Serveru do jiných koncových bodů, aniž by potřeboval pověření specifická pro tato zařízení. Použití WebLogic Server ke správě webových stránek také činí tyto systémy zranitelnými vůči ransomwaru. Proces šifrování také hledá záložní servery a také je zašifruje.
Datové soubory jsou šifrovány pomocí Salsa20 šifra a komunikace s řídicím serverem ransomwaru jsou chráněny AES šifrování. Ransomware také extrahuje data ze souborů a přenáší je na servery Sodinokibi. Součástí hrozby, kterou hackeři vydali, je, že objevená data zveřejní na svém webu, který se nazývá Šťastný blog, pokud nebude zaplaceno výkupné.
Sodinokibiho výkupné
Analytici kybernetické bezpečnosti hlásí, že ransomware Sodinokibi požaduje platbu 0,32806964 bitcoinů, což je asi 11 800 $. Individuální požadavky na výkupné vznesené v souvislosti s útoky na vysoce známé právní a zábavní podniky však byly mnohem vyšší. Skupina tvrdila, že očekávali, že vydělají 100 milionů dolarů v roce 2020.
Pokud skupina neuzavře dohodu, aby dostala výkupné z cíle, pokusí se o to prodat ukradená data ostatním, takže oběť zůstane se zamčenými soubory, ke kterým není přístup. Stalo se tak v květnu 2020, kdy skupina tvrdila, že zaútočila na prezidenta Donalda Trumpa. Požadovali 42 milionů dolarů, ale nedostali je, a tak sklízená data prodali někomu jinému za nezveřejněnou částku.
Lady Gaga odmítla v květnu 2020 zaplatit výkupné za dokumenty týkající se ní, které byly zašifrovány v počítačích jejích právních poradců. Skupina tyto dokumenty zveřejnila. Hrozba zveřejněním dokumentů o madona ve stejném měsíci byla odvolána. Možná , zpěvák zaplatil výkupné na poslední chvíli.
V roce 2021 zahájila skupina Sodinokibi sérii útoků na velké organizace, včetně jednoho na výrobce počítačů, Acer . Skupina požadovala 50 milionů dolarů, které se zvýšily na 100 milionů dolarů poté, co byl zmeškan původní termín. Skupina také zaútočila Quanta Počítač , dodavatel společnosti Apple, a požadoval 50 milionů dolarů. V květnu 2021 brazilský podnik na zpracování masa JBS S.A. zaplatil výkupné 11 milionů dolarů.
Pamatujte, že skupina Sodinokibi na nikoho přímo neútočí. Jiní kyberzločinci odvádějí špinavou práci a Sodinokibi dostane škrt za dodání ransomwaru.
Obrana proti ransomwaru Sodinokibi
Sodinokibi ransomware je stále v provozu . Jeho je systém RaaS, který mohou použít jako nástroj další hackeři. Zde je mnoho hackerů po celém světě, kteří mají dovednosti sociálního profilování, ale nemají schopnosti programování. Sodinokibi ransomware je velmi dobře napsaný a umí vyhnout se detekci tradičními antivirovými systémy.
Ransomware Sodinokibi se stahuje na Okna a potřebuje administrátorská práva. Je hrozbou pouze pro podniky provozující Oracle WebLogic Server. Předpokládejme, že povolíte přístup správce všem uživatelům na jejich koncových bodech. V takovém případě zraníte celý svůj systém, protože ransomware Sodinokibi potřebuje pouzeh osmnáct privilegií na prvním počítači, který infikuje. Odtud se může dostat do dalších zařízení, aniž by měl k těmto koncovým bodům vysoká přístupová práva.
První obrana, kterou byste měli implementovat, je vzdělávat uživatele proti sledování odkazů v e-mailech nebo stahování příloh. Měli byste se také podívat na způsoby omezit oprávnění správce všem uživatelům, takže tuto úroveň přístupu mají pouze technici IT podpory.
Pokud neběžíte Oracle WebLogic Server , nemusíte se obávat ransomwaru Sodinokibi. Nejedná se však o jediný ransomware v oběhu, takže budete muset nainstalovat inteligentní bezpečnostní systémy na ochranu proti nim.
Nejlepší nástroje na obranu proti ransomwaru Sodinokibi
Téměř ve všech případech se ransomware dostane do vašeho systému prostřednictvím uživatelských akcí. Uživatelé jsou podvedeni ke stažení nebo instalaci této kategorie malwaru. Takže nástroje, které potřebujete k ochraně před tímto typem malwaru, jsou detekce a reakce koncového bodu systémy.
Data o klientech a jednotlivcích jsou vždy cílem hackerů. K tomu potřebujete specializovaný software chránit tyto informace z manipulace nebo krádeže.
Zde jsou dva vynikající bezpečnostní balíčky, které byste měli zvážit.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je balíček detekce a odezvy koncového bodu, který obsahuje moduly nainstalované na každém koncovém bodu a cloudový monitorovací systém. Dvě poloviny systému interagují s agenty zařízení, kteří nahrávají data o aktivitě a kontrolérem odesílá zpět zpravodajství o hrozbách a příkazy odezvy.
Agent koncového bodu je podstatný bezpečnostní balíček. Může pokračovat v ochraně koncového bodu, i když je odříznut od sítě a internetu. Tento systém ochrany koncových bodů je také dostupný jako samostatný balíček, tzv CrowdStrike Falcon Prevent .
Koordinovaný monitorovací systém Insight je užitečný pro ochranu před Sodinokibi a dalším ransomwarem, který se může šířit. Jakmile jeden agent zařízení zaznamená podezřelé aktivity, agenti na všech ostatních zařízeních jsou uvedeni do nejvyšší pohotovosti. Systém může implementovat zmírnění hrozeb, včetně automatických reakcí, které mohou pozastavit uživatelský účet a izolovat zařízení ze sítě k zastavení šíření ransomwaru.
Napájen je také cloudový řadič Insight zpravodajství o hrozbách z CrowdStrike, předávané v aktualizacích algoritmů agentům koncových bodů. Bezpečnostní systém se nespoléhá na seznam souborů malwaru, které je třeba hledat; místo toho vyhledává ve všech aktivitách podezřelé chování. Je ideální na špinění zero-day útoky .
Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
CrowdStrike Falcon Insight Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je určen k ochraně dat a souborů. Toto je místní softwarový balíček, který se instaluje na Windows Server, a monitoruje zařízení se systémem Windows – připojení přes síť. Tento bezpečnostní systém je vhodný pro podniky, které splňují PCI DSS , HIPAA , a GDPR .
DataSecurity Plus provádí a zjišťování dat rutina, která najde a poté kategorizuje všechna citlivá data v držení podniku. Má také a monitor integrity souborů . To okamžitě odhalí jakékoli neoprávněné změny souborů a vyvolá upozornění. Aktivitu Sodinokibi byste objevili ve chvíli, kdy se pokusil zašifrovat první soubor. Malware by také neměl šanci se rozšířit dříve, než by si ho někdo všiml.
DataSecurity Plus je k dispozici pro 30denní bezplatná zkušební verze .
