Анализ Sodinikibi: шифровальщик как сервис

Анализ Sodinikibi: шифровальщик как сервис
Если мы оглянемся назад, то очевидно, что одной из главных особенностей шифровальщиков как угрозы является то, что они постоянно совершенствуются, поддерживая свою живучесть и эффективность. Такие типы атак значительно эволюционировали с тех пор, как они впервые появились, и сегодня существует много различных и разнообразных семейств этих угроз.

Но такое развитие также подразумевает, что кибер-преступники вынуждены прилагать все больше усилий, поскольку требуется применять все более совершенные и сложные методы. В свою очередь, это означает, что сами по себе угрозы становятся все сложнее, их сложнее распространять и обеспечивать их живучесть в системе. Sodinokibi, известный также как REvil, является одним из таких примеров – данная угроза заразила большое количество устройств по всему миру за поразительно короткий промежуток времени.

Sodinokibi и доксинг
В конце 2019 года среди атак шифровальщиков появилась тенденция, которая на сегодняшний день стала устоявшейся практикой: операторы различных семейств вымогателей, помимо захвата файлов, угрожают разглашением конфиденциальной или компрометирующей информации .

Этот метод был впервые использован с помощью программы-шифровальщика Maze, а месяц спустя операторы, стоящие за другими семействами шифровальщиков и, несомненно, мотивированные его эффективностью, приняли эту стратегию в тех случаях, когда жертвы неохотно платили за восстановление зашифрованных файлов. Так было в случае с шифровальщиками Sodinokibi, DoppelPaymer, RobinHood и Nemty.

Основные признаки
В случае с Sodinokibi (он же REvil) одной из примечательных особенностей является его хорошая способность уклоняться от обнаружения антивирусными системами, а для достижения этой цели угроза применяет многочисленные меры. Мы также обратили внимание на то, как этот шифровальщик использует уязвимость в серверах Oracle WebLogic. Хотя это выдающаяся особенность Sodinokibi, но она, как и у многих других семейств шифровальщиков, работает по схеме «шифровальщик как сервис» (RaaS, Ransomware as a Service) – это означает, что угроза зарабатывает деньги не только непосредственно с помощью вымогательства, но и через продажу наборов, которые позволяют злоумышленникам создавать и распространять свои собственные шифровальщики.

Эти особенности в совокупности сделали Sodinokibi самым прибыльным шифровальщиком в последнем квартале прошлого года (хотя впервые был обнаружен ранее), принося почти на 8% больше дохода, чем шифровальщик Ryuk .

Вектор заражения
Самый часто используемый способ для проникновения Sodinokibi на устройства - это вредоносное письмо в рамках фишинговой кампании. Письмо содержит ссылку, предлагающую загрузить zip-файл, который на самом деле содержит загрузчик Sodinokibi. Злоумышленники распространяют вредоносное ПО таким образом, поскольку он облегчает доступ к жертве, а распространение вредоносного ПО в zip-файле помогает избежать обнаружения со стороны систем антивирусной защиты.

Как правило, zip-файл содержит сложный JavaScript-файл, подобный тому, который был проанализирован в отчете.
Распространение

География распространения Sodinokibi была разнообразной, и в этом году инциденты были зафиксированы во многих странах мира. Тем не менее, атаки в основном были сосредоточены в странах Европы, США и Индии.
Расширенная информационная безопасность для борьбы с шифровальщиками
Мы были свидетелями того, как атаки шифровальщиков меняют свои цели: вместо того чтобы атаковать как можно большее число пользователей они стали сосредотачиваться на атаках против конкретных жертв для того, чтобы повысить свою финансовую отдачу. Важно не спасовать перед лицом этой новой тактики кибер-преступников, не поддаваться угрозам и не платить им выкуп, так как в любом случае нет никакой гарантии, что даже после оплаты денег вам удастся расшифровать свои файлы и восстановить информацию. Также нет уверенности в том, что любая компрометирующая информация не будет обнародована или использована в каких-либо других преступных целях.

Для того, чтобы ваша компания не сталкивалась с подобными ситуациями, существуют системы безопасности конечных устройств с опциями расширенной защиты, такие как Panda Adaptive Defense 360 , с расширенными возможностями EDR , мониторингом процессов на всех конечных устройствах в сети и сервисом для классификации 100% этих процессов. Правда заключается в том, что шифровальщики - это очень реальная угроза, и с ней трудно бороться, если у вас нет правильной защиты или вы не следуете определенным рекомендациям.
Будьте готовы и защитите свои системы с помощью решения Panda Adaptive Defense 360 , которое благодаря модели «нулевого доверия» ( Zero Trust ) обеспечивает более высокий уровень видимости происходящих на конечных устройствах процессов и контроля над ними для повышения эффективности предотвращения, обнаружения и реагирования на любую угрозу, включая такие шифровальщики как Sodinokibi.

Узнайте технические подробности Sodinokibi в нашем отчете PandaLabs :

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
расширенная информационная безопасность B2B вредоносная программа шифровальщик угроза отчет
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.