Threat Database Ransomware Sodinokibi Ransomware

Sodinokibi Ransomware

Scorekort för hot

Hotnivå: 100 % (Hög)
Infekterade datorer: 644
Först sett: June 17, 2019
Senast sedd: May 12, 2023
Operativsystem som påverkas: Windows

Sodinokibi Ransomware är ett nytt hot mot skadlig programvara som får grepp i cyberkriminella kretsar. Även om Sodinokibi fungerar på det typiska ransomware-sättet - det infiltrerar offrets dator, använder en stark krypteringsalgoritm för att kryptera filerna och kräver en betalning för deras återställning, analyserar dess underliggande kod avslöjar att det är en helt ny skadlig stam och inte en uppdaterad variant av en redan existerande ransomware.

Zero-Day Exploit underlättar första Sodinokibi Attack

Sodinokibi upptäcktes först den 25 april när den användes i en attack som utnyttjade en noll-dagars Oracle WebLogic Server-sårbarhet. Allvarlighetsgraden av noll-dagars utnyttjande kunde inte underskattas eftersom det tillät fjärrkörning av kod utan någon annan nödvändig autentiseringsinformation. Oracle utfärdade en patch den 26 april, utanför deras vanliga patchcykel, för att fixa den och tilldela sårbarheten som CVE-2019-2725.

Genom utnyttjandet kunde angriparna ladda ner Sodinokibi-nyttolasten till slutpunktsmaskinerna utan behov av användarinmatning. Vanligtvis kräver ransomware-hot åtminstone viss interaktion från offren innan infektionen kan börja. En gång inuti börjar Sodinokibi kryptera alla filer med följande tillägg:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel,. prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx,. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc,. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4,, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw,. clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

För varje infekterat system genererar Sodinokibi en distinkt alfanumerisk sträng som kan vara mellan 5 och 9 tecken lång och lägger till den som ett nytt tillägg till varje framgångsrikt krypterad fil. Ransomware skapar sedan en text- eller HTA-fil med lösensedeln i varje mapp som innehåller krypterade filer. Namnet på lösensedeln följer mönstret - [RANDOM EXTENSION] -HOW-TO-DECRYPT.txt. Till exempel, om Sodinokibi har genererat a5b892t som en förlängning för den specifika maskinen, kommer lösensedeln att få namnet a5b892t-HOW-TO-DECRYPT.txt.

Denna vecka i Malware Ep2: Sodinokibi Ransomware är en Ransomware-as-a-Service

Sodinokibi ransomware har funktionaliteten att använda "cmd.exe" för att köra vssadmin-verktyget för att förhindra att användarna återställer de krypterade filerna genom Windows säkerhetskopieringsmekanik. Mer specifikt kör ransomware följande kommandon för att radera Shadow Volume-kopior av de drabbade filerna och för att inaktivera Windows startreparation:

C: \ Windows \ System32 \ cmd.exe "/ c vssadmin.exe Ta bort Shadows / All / Quiet & bcdedit / set {default} recoveryenabled Nej & bcdedit / set {default} bootstatuspolicy ignoreallfailures

Sodinokibi kräver en rejäl summa för dekryptering

Istället för att sätta sina instruktioner och krav i lösensedeln leder brottslingarna bakom Sodinokibi alla drabbade användare mot två webbplatser - en .onion-webbplats som är värd i TOR-nätverket och en på den offentliga delen av Internet på domänens "dekrypterare" [.]topp." Anteckningens fullständiga text är:

"- === Välkommen. Igen. === ---

[+] Vad händer? [+]

Dina filer är krypterade och för närvarande inte tillgängliga. Du kan kontrollera det: alla filer på din dator har expansion ----------.
Förresten är allt möjligt att återhämta sig (återställa), men du måste följa våra instruktioner. Annars kan du inte returnera dina data (ALDRIG).

[+] Vilka garantier? [+]

Det är bara ett företag. Vi bryr oss absolut inte om dig och dina erbjudanden, förutom att få förmåner. Om vi inte gör vårt arbete och våra skulder - kommer ingen att samarbeta med oss. Det är inte i våra intressen.
För att kontrollera möjligheten att returnera filer bör du gå till vår webbplats. Där kan du dekryptera en fil gratis. Det är vår garanti.
Om du inte kommer att samarbeta med vår tjänst - för oss spelar det ingen roll. Men du kommer att förlora din tid och data, för vi har bara den privata nyckeln. I praktiken är tiden mycket mer värdefull än pengar.

[+] Hur får jag tillgång på webbplatsen? [+]

Du har två sätt:

1) [Rekommenderas] Använda en TOR-webbläsare!
a) Ladda ner och installera TOR-webbläsaren från den här webbplatsen: hxxps: //torproject.org/
b) Öppna vår webbplats: hxxp: //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) Om TOR blockeras i ditt land, försök att använda VPN! Men du kan använda vår sekundära webbplats. För detta:
a) Öppna din valfri webbläsare (Chrome, Firefox, Opera, IE, Edge)
b) Öppna vår sekundära webbplats: http://decryptor.top/913AED0B5FE1497D

Varning: sekundär webbplats kan blockeras, det är därför första variant mycket bättre och mer tillgänglig.

När du öppnar vår webbplats, lägg in följande data i inmatningsformuläret:
Nyckel:

-

Tilläggsnamn:

-----------

-------------------------------------------------- ---------------------------------------

!!! FARA !!!
DONT försök att ändra filer själv, DONT använder någon tredjepartsprogramvara för att återställa dina data eller antiviruslösningar - det kan medföra skada på den privata nyckeln och därmed The Loss all data.
!!! !!! !!!
EN MER TID: Det är i dina intressen att få tillbaka dina filer. Från vår sida gör vi (de bästa specialisterna) allt för att återställa, men snälla bör inte störa.
!!! !!! !!! "

För att komma åt någon av de platser som listas i anteckningen måste användarna mata in en specifik nyckel som finns i lösenordets textfil. När koden har angetts kommer de att föras till följande målsida som visar den specifika tilläggs-ID-koden för datorsystemet och en nedräkningstimer som visar att lösenbeloppet fördubblas i storlek - från $ 2500 till $ 5000, betalas i Bitcoin-kryptokurrency. Webbplatsen beräknar om Bitcoin / USD-kursen var tredje timme och uppdaterar de visade siffrorna.

Sodinokibi Ransomware skärmdump

Sodinokibi Ransomware utökar sin räckvidd

Efter plåstret som stängde ner Oracle WebLogic nolldag, observerade forskare en ökning av attackvektorerna som användes för att distribuera Sodinokibi-ransomware. I själva verket har nästan alla möjliga distributionsmetoder nu försökt:

Skräppostkampanjer - Tyska användare riktades mot en skadlig skräppostkampanj som bar Sodinokibi-nyttolasten i äventyrade e-postbilagor som utgjorde ett brådskande meddelande om utestängning. En annan e-postkampanj låtsades vara en "Ny bokning" från Booking.com. För att komma åt den förmodade bokningsinformationen måste användarna öppna en word-fil och sedan tillåta körning av makron. Om du gör det kommer Sodinokibi-ransomware-infektionen att initieras.

Ersätta legitima nedladdningar av programvara - Enligt TG Soft fick en italiensk WinRar-distributör sin webbplats äventyrad, vilket resulterade i nedladdning av Sodinokibi-ransomware istället för WinRar-programmet.

Hacked Managed Service Providers (MSPs) - Flera Managed Service Providers hackades för att distribuera Sodinokibi ransomware till sina kunder. Uppenbarligen använde angriparna Remote Desktop Services för att komma in i de drabbade MSP: s nätverk och sköt sedan ransomwarefilerna genom hanteringskonsolerna till klienternas slutpunktsmaskiner.

Exploit Kits - Felaktig kampanj genom annonser i PopCash-annonsnätverket verkar omdirigera användare till webbplatser som bär RIG Exploit Kit under vissa förhållanden.

Det är mer än uppenbart att Sodinokibis medlemsförbund blir mer ambitiösa och kan nu försöka fylla det vakuum som skapades till följd av att GandCrab Ransomware- operatörer stängde av sin verksamhet och hävdade att de hade genererat över 2 miljarder dollar i lösenbetalningar.

Sodinokibi Ransomware börjar spela grovt

Hotaktörerna bakom Sodinokibi-ransomware slutade 2019 på en hög nivå och slog Travelex , ett valutaföretag baserat i Storbritannien, och verkar i mer än 70 länder världen över. Travelex webbplatser i cirka 30 länder måste tas bort på nyårsafton, för vad som tycktes vara '' planerat underhåll '', men visade sig vara en motåtgärd för att hindra Sodinokibi-ransomware från att spridas. Attacken påverkade också Travelex partners, såsom HSBC, Barclays, Sainsburys Bank, Virgin Money, Asda Money och First Direct.

Med tanke på omfattningen av attacken och arten av Travelex verksamhet var det inte konstigt att hackarna krävde en lösenutbetalning som hoppade från 3 miljoner dollar till 6 miljoner dollar på några dagar. Hotaktörerna beslutade också att visa alla att de menar affärer genom att hota att släppa stulen känslig information. Travelex å andra sidan förnekade att någon info exfiltrerades. Några dagar senare upprepade dock en användare på ett rysskt hackingsforum, med namnet Okänd, cyberskurkens hot mot Travelex och det kinesiska företaget CDH Investments. Detta gjordes genom publicering av 337 MB data som påstås stulas från Artech Information Systems.

Denna mängd stulna data bleknar i jämförelse med 5 GB som påstås exfiltreras från Travelex-system. Hackarna har lovat att Travelex skulle betala, på ett eller annat sätt. Samtidigt har Travelex meddelat att företaget samarbetar med Metropolitan Police och National Cyber Security Center (NCSC) för att lösa ärendet. Travelex har också börjat hantera varumärkeshantering, lovat öppenhet och släppt en färdplan för återhämtning.

Sodinokibi verkar inte heller visa några tecken på att sakta ner, slå en New Jersey Synagogue den 9 januari 2020 och kräva en lösen på 500 tusen dollar under hotet att hotaktörerna kommer att släppa känsliga uppgifter om kongresserna.

Oavsett om Sodinokibi lyckas ta platsen för den nuvarande ransomware, finns det vissa steg som kan hjälpa alla användare att bygga ett starkt försvar mot sådana ransomware-attacker. En av de mest pålitliga metoderna är att skapa en systembackup som lagras på en enhet som inte är ansluten till nätverket. Genom att ha tillgång till en sådan säkerhetskopia kan användare helt enkelt återställa filerna som har tagits som gisslan av skadlig programvara med minimal förlust av data. Att använda ett legitimt anti-malware-program och hålla det uppdaterat kan dessutom innebära att vissa hot mot ransomware stoppas redan innan de har fått chansen att utföra sin skadliga kodning.

SpyHunter upptäcker och tar bort Sodinokibi Ransomware

Filsysteminformation

Sodinokibi Ransomware kan skapa följande fil(er):
# Filnamn MD5 Detektioner
1. celfa_.exe 9dbb65b1a435a2b3fb6a6e1e08efb2d0 11

relaterade inlägg

Trendigt

Mest sedda

Läser in...