都說猖狂的勒索軟體——Sodinokibi,你是否了解?

2020-12-06 超級盾雲防禦

轉自Bleeping Computer,作者 Ionut Ilascu

在勒索軟體領域相對較新的Sodinokibi,已經為其管理人員和附屬機構帶來了可觀的利潤,一些受害者支付了高達24萬美元,而網絡感染平均淨賺15萬美元。

當你看到惡意軟體最近的活動時,這些數字並不令人驚訝。8月16日,Sodinokibi襲擊了德克薩斯州的22個地方政府,要求共250萬美元的贖金。它破壞了多個msp(託管服務提供商)向客戶傳播惡意軟體的行為。

最近的受害者是另一個MSP,它為牙科診所提供數據備份服務。在這個案件中,據稱每名客戶的贖金為5 000美元;數百人受到影響。

自今年4月被發現以來,Sodinokibi(又名REvil)已經變得多產,並迅速在勒索軟體行業和安全研究領域的網絡罪犯中贏得了聲譽。

5月中旬,一個名為UNKN的Sodinokibi廣告客戶在地下論壇上存入了超過10萬美元,以表明他們是認真的。

這種新型文件加密惡意軟體的廣告從7月初開始在至少兩個論壇上出現。UNKN表示,他們希望擴大活動範圍,這是一家私人企業,「座位有限」,可供有經驗的個人使用。

惡意軟體研究人員達米安(Damian)向BleepingComputer提供的聲明截圖顯示,UNKN將惡意軟體描述為「私人勒索軟體」,靈活程度足以適應RaaS的商業模式。

UNKN最初向關聯公司提供了60%的付款,在前三筆交易後增加了10%。這位演員還明確表示,作為這個私人項目的一部分,他們不會與說英語的子公司合作。

該勒索軟體的名稱並未在論壇帖子中披露,但研究人員告訴我們,他看到了該惡意軟體管理面板的截圖,顯示的機器人ID與Sodinokibi看起來一樣。

最近,就有一名受害者支付了27.7枚比特幣,交易時兌換成超過22萬美元。

達米安的另一項抓捕行動表明,這個勒索軟體項目非常有利可圖,一些受害者只需支付4個比特幣(約合4000美元),而其他人則在轉換時支付26個比特幣,約合24萬美元。

對於那些可以感染整個網絡的附屬機構,REvil/Sodinokibi開發人員允許受害者為整個受感染的計算機購買解密工具。根據BleepingComputer分享的論壇帖子,這些網絡範圍的解密器平均成本為15萬美元。

隨著收入的湧入,其他惡意軟體經銷商正試圖進入該程序,但UNKN昨日表示,目前沒有子公司的空缺。

當他們開始做廣告的時候,威脅行為者已經得到了地下勒索軟體社區中受人尊敬的成員的支持。

高級情報(AdvIntel)安全研究主管Yelisey Boguslavskiy告訴BleepingComputer,UNKN在7月4日的一個網絡犯罪論壇上註冊了一個帳戶,很明顯,他們一直活躍在這個社區之外。

兩名專門從事勒索軟體攻擊的知名社區成員支持UNKN,並透露他們已經加入了該聯盟項目,表明他們已經知道自己在與誰打交道。

論壇成員Lalartu透露,他們是在GandCrab項目破產後開始與Sodinokibi合作的。他們讚揚新RaaS披露的這一舉措對盈利產生了重大影響,「不僅增長,還突破了天花板,進一步增長。」

今年6月,Sodinokibi上開始了一場討論,大多數論壇成員對新的勒索軟體及其合法性表示懷疑。UNKN提交聯合報價後,該線程很快被刪除。

Sodinokibi是在研究人員發現它通過利用一個關鍵的反序列化漏洞部署在Oracle WebLogic伺服器上時被發現的。

在感染Sodinokibi病毒的同一系統上,網絡罪犯在幾小時後也安裝了GandCrab。四月底,GandCrab的管理人員宣布他們將在20天內關閉商店。他們遵守了諾言。

在GandCrab ransomwareas -as-a-service (RaaS)關閉後不久,Sodinokibi勒索軟體的運營商就開始尋找合作夥伴來發布他們的軟體。

地下對新產品的反應表明,這可能與現已關閉的GandCrab行動的管理人員或附屬機構有關。

一些惡意軟體分析人士指出,這兩種勒索軟體在代碼級別上有相似之處,儘管兩者之間存在很多差異。

然而,一個相似之處是,這兩個惡意軟體家族的管理員都不會在獨立國協地區開展業務。這包括俄羅斯、烏克蘭、摩爾多瓦、白俄羅斯、吉爾吉斯斯坦、哈薩克斯坦、亞美尼亞、塔吉克斯坦、土庫曼斯坦和烏茲別克斯坦。

隨著惡意軟體的迅速升級,這些麵包屑似乎暗示了GandCrab團隊或其附屬機構的參與。他們已經在私人論壇上建立了聯繫,這讓他們能夠迅速推廣Sodinokibi,並對自己的伴侶有選擇性。

目前還沒有明確的、不可否認的證據表明,Sodinokibi是由管理GandCrab的同一個人管理的,但他們顯然知道勒索軟體的把戲,並熱衷於賺錢。

聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫小編刪除!

精彩在後面

Hi,我是超級盾

超級盾:從現在開始,我的每一句話都是認真的。

如果,你被攻擊了,別打110、119、120,來這裡看著就行。

截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢。

相關焦點

  • 防範勒索軟體攻擊的六個行動
    Gartner的高級分析師Paul Webber說:「在最近的一些勒索軟體攻擊案例中,受害組織向攻擊者支付了巨額贖金,這可能是這種攻擊越來越猖獗的原因之一。相反,如果組織希望減少勒索軟體引起的損失,需要專注於準備和早期應對。」
  • 在線教育巨頭遭勒索軟體攻擊,為防止洩密向勒索軟體支付贖金
    K12本周宣布,他們在11月中旬遭遇勒索軟體攻擊,導致他們鎖定部分IT系統,以防止攻擊蔓延。「11月中旬,我們在我們的網絡上發現了未經授權的活動,此後被確認為勒索軟體形式的犯罪攻擊。K12在一份聲明中對BleepingComputer說:「在發現異常系統活動後,我們迅速啟動了應對措施,採取措施控制威脅並鎖定受影響的系統,通知聯邦執法機構,並與行業領先的第三方取證團隊合作,對事件進行調查和協助。」。這次攻擊並沒有影響他們的在線學習管理系統(LMS)來提供教育內容或附屬特許學校。他們還表示,大多數主要系統,包括工資、會計和招生系統,都沒有受到影響。
  • WannaCry勒索軟體來勢洶洶,席捲全球
    需要了解的是,未安裝補丁的Windows計算機會將SMB服務暴露在外,從而被「永恆之藍」漏洞利用程序遠程攻擊,造成WannaCry勒索軟體感染。但是,不包含這種漏洞的計算機也不能完全避免勒索軟體組件的運行。所以,此次攻擊大範圍爆發的罪魁禍首似乎就是這種漏洞。
  • 特斯拉與FBI阻止勒索軟體攻擊
    本周早些時候,聯邦調查局逮捕了一名試圖對美國公司進行勒索軟體攻擊的27歲的俄羅斯公民。據 報導,事實證明這家公司是特斯拉。根據司法部的投訴,7月份,Egor Igorevich Kriuchkov前往美國,並聯繫了在內華達州Sparks 的特斯拉超級工廠工作的講俄語的非美國公民。
  • Matrix勒索軟體不斷變種 威脅持續增加
    根據SophosLabs的 《2019年網絡威脅報告》報告顯示,Matrix勒索軟體不斷演變,現在利用Matrix的網絡罪犯會隨時間改變其攻擊參數,添加新的文件和腳本,以便將不同的任務和負載部署到網絡上,威脅性再次提升。
  • 勒索軟體現可檢測虛擬機躲避安全人員分析
    【PConline 資訊】不知各位是否還記得去年發現的那款臭名昭著的勒索軟體Cerber,除了加密文件外該軟體還包含一個.vbs文件,顯示贖金票據以進一步嚇唬受害者。現在,它又有了新動作,獲得了防止網絡安全工具檢測的能力,使惡意軟體難以被安全人員分析。
  • 勒索軟體攻擊美國氣象電視臺 致節目延時
    經爆料,原因是美國氣象電視臺遭到了勒索軟體攻擊,結果導致節目延後一個半小時才開播。  隨後美國氣象電視臺在Twitter上發表聲明,表示該電視臺的網絡遭到惡意軟體攻擊,它們已儘快通過備份機制恢復了直播,而且執法機關也介入了調查。  美國聯邦調查局(FBI)發言人則向外媒透露,此次美國氣象電視臺所說的惡意軟體攻擊,其實就是勒索軟體攻擊。目前FBI正在進行調查。
  • 新的一年,新型勒索軟體Babuk Locker開始針對大型企業進行攻擊
    根據最新的研究,到目前為止,一個名為Babuk Locker的勒索軟體似乎已經成功入侵了五家公司。研究人員是喬治亞理工學院的計算機科學學生Chuong Dong,他說,他是在推特上一位名叫 "Arkbird "的安全研究人員的推文中第一次看到這個勒索軟體的。隨後,他在一個分享漏洞和洩密資料庫的論壇RaidForums上發現了Babuk的相關信息。
  • 新勒索軟體再次席捲全球!歐美多政府與企業機構受創
    ,勒索軟體感染了30萬臺計算機。  病毒中包含了「Eternal Blue」代碼,網絡安全專家相信,這段代碼是黑客從美國NSA(國家安全局)竊取的,上個月的勒索攻擊也使用了該代碼,勒索軟體的名字叫作「WannaCry」。  網絡安全公司Secure Ideas的CEO凱文·詹森(Kevin Johnson)說:「網絡攻擊可以輕鬆摧毀我們,企業本來應該做一些事情修正問題,但是它們沒有做。」
  • 透過「想哭」病毒 來看勒索軟體簡史
    WannaCry可以說是史上影響、危害最大的勒索程序沒有之一了,它在爆發後的幾個小時內攻擊 99 個國家近萬臺設備,在大量企業組織和個人間蔓延,目前已經有 150 多個國家的 20 多萬臺主機遭受了攻擊,其中包括英國、美國、中國、俄羅斯、西班牙和義大利。
  • 勒索病毒是什麼?勒索病毒是什麼類型的電腦都侵害嗎?
    ■勒索病毒是什麼?其實,勒索病毒是此前活躍的勒索軟體Wallet的一類變種,運用了高強度的加密算法難以破解,被攻擊者除了支付高額贖金外,往往沒有其他辦法解密文件,只有支付高額贖金才能解密恢復文件,對學習資料和個人數據造成嚴重損失。
  • 他們靠勒索致富,一年掙20億美金,還說「壞人沒壞報」……
    今天跟大家聊一個關于勒索的事。不曉得你有木有被敲詐勒索過,反正我不僅被勒索過,還勒索過別人。先說被勒索的吧。那是在小學四年級上學的路上,馬路對面竄過來一個十四五歲的男孩,抓住我胳膊直接就問,有錢嗎?拿出來!
  • 勒索軟體鎖定「網紅」特斯拉,FBI已將其抓捕
    無孔不入的勒索軟體,最近盯上了特斯拉!就連新晉的世界第三大富豪馬斯克都沒逃過。 8月22日,FBI在洛杉磯逮捕了一名俄羅斯男子,原因是該男子用100萬美元比特幣去賄賂內華達州特斯拉工廠的一名特斯拉員工,讓其在特斯拉計算機網絡安裝勒索軟體,對其計算機網絡進行攻擊,並要求支付數百萬美元的比特幣。不過該員工並沒有執行該計劃,而是去聯繫了FBI。
  • Precise Security:2019年勒索軟體感染排行榜 WannaCry依然排名榜首
    Precise Security公布的一份新報告顯示,WannaCry在去年勒索軟體感染排行榜當中位居第一。Precise Security稱,超過23.5%的設備最終被勒索軟體鎖定,其中垃圾郵件和網絡釣魚郵件仍然是去年最常見的感染源。
  • 直升機製造商遭勒索軟體黑手 企業文檔被公開
    據外媒報導,直升機製造商Kopter不久前遭到了勒索軟體攻擊,在Kopter拒絕與黑客接觸後,勒索軟體團夥已於周五在網際網路上公布了該公司的部分文件。
  • 全球第二大筆記本代工廠仁寶電腦遭勒索軟體攻擊
    站長之家(ChinaZ.com) 11月10日 消息:上周末,全球第二大筆記本電腦代工廠仁寶電腦(Compal)遭遇勒索軟體攻擊。根據仁寶員工透露的贖金通知的截圖,此次事件被認為是DoppelPaymer」勒索團夥所為。
  • 安全419寶典:重視網絡安全威脅 你必須要了解的六大類攻擊
    此外,網絡威脅自身也在不斷演變,攻擊者正千方百計地利用漏洞,這導致了目前網絡釣魚、勒索軟體或其他惡意軟體攻擊盛行。為了應對這一挑戰,企業往往需要和一些經驗豐富的網絡安全公司進行合作,用以幫助自己建立合規且安全的防護,同時還針對員工進行網絡安全培訓,配合持續網絡安全監控措施,建立起有效的防禦策略。
  • SpaceX火箭發射成功,勒索團夥祝賀?奇葩「套路」你見過嗎
    網絡勒索事件似乎每天都在發生,小到個人和企業,大至國家,都不能倖免。比如最近就發生了一起奇葩的勒索事件:SpaceX和美國宇航局NASA首次載人火箭發射成功後,一個叫DopplePaymer的勒索團夥宣布入侵了DMI公司內網,還留下了祝賀火箭發射成功的信息。
  • 美國天氣頻道遭勒索軟體攻擊 停止直播1個多小時
    根據《華爾街日報》的報導,The Weather Channel本周四遭遇勒索軟體攻擊,並暫時停止了一個直播節目的播出聯邦調查局(FBI)表示,這是一次勒索軟體攻擊,該部門正在展開調查。The Weather Channel在Twitter上表示:「在網絡遭到惡意軟體攻擊之後,我們今天上午的直播出現了問題。」該頻道同時表示,已經通過「備份機制」恢復了服務。「我們為給觀眾帶來的不便表示道歉,我們正在努力解決這個問題。」
  • 2018勒索病毒全面分析報告
    由於這種病毒帶來的危害都能被很好的解決,所以該類型的勒索軟體只是曇花一現,很快便消失了。圖:Satan勒索病毒釋放的永恆之藍攻擊工具包三、勒索病毒家族種類介紹瑞星安全專家通過對勒索病毒的傳播速度、感染量、加密手段以及開發門檻選取了10個具有代表性的家族病毒進行分析,幫助用戶更好的了解勒索病毒。