Sodinokibi Ransomware 101: Oprindelse, Ofre, Forebyggelsesstrategier
Sodinokibi Ransomware er en af de mest distribuerede Ransomware stammer i verden. Lad ikke din virksomhed være det næste offer!
This post is also available in:
English
Cyberangreb er blevet en del af vores virkelighed, men har du nogensinde spekuleret over, hvad der kan ske, hvis din virksomhed bliver målet for det? Du har sikkert forestillet dig, at du ville miste nogle penge og en hel del tid, måske fyre en medarbejder eller også miste et par kunder og få dit omdømme plettet eller i sidste ende endda bruge tid på en retssag. Hvis disse ikke er alvorlige og slemme nok, til at få dig til at tage cybersikkerhed alvorligt, så lad mig fortælle dig dette: cyberangreb er lige blevet dødbringende. Det skete i denne måned i Tyskland, hvor “En person i en livstruende tilstand døde efter at være blevet tvunget til at tage til et hospital længere væk på grund af et ransomware angreb.” Apropos ransomware… bør du være særlig opmærksom på Sodinokibi ransomware.
Sodinokibi ransomware er et perfekt eksempel på Ransomware-as-a-Service, en cyberkriminalitet, der involverer to grupper som er gået sammen om hacket: kodens forfattere, der udvikler ransomwaren, og datterselskaberne, der spreder det og indsamler løsesummen.
Som SecurityBoulevard siger, er Sodinokibi “den tilsyneladende arving til en stamme kendt som GandCrab. Sikkerhedssamfundet mener GandCrab er ansvarlig for 40 procent af alle ransomware infektioner globalt. Den har taget omkring $2 milliarder i løsesum. Men, tidligere i år, annoncerede skaberne af GandCrab malwarens pensionering.”
Sodinoki blev opdaget i april 2019, og er en meget undvigende og opgraderet ransomware, som bruger et særligt social engineering kneb – dem der spreder det truer med at fordoble løsesummen, hvis den ikke er betalt inden for et bestemt antal dage. Dette aspekt gør Sodinoki ransomware farligt for virksomheder i alle størrelser. Også kendt som Sodin eller REvil, blev Sodinokibi hurtigt den fjerde mest distribuerede ransomware i verden, mest målrettet mod amerikanske og europæiske virksomheder.
Hvordan virker Sodinokibi ransomware?
De fleste gange spredes Sodinokibi ransomware af brute-force angreb og server exploits, men det er ikke ualmindeligt enten at blive smittet gennem ondsindede links eller phishing. Den udnytter en Oracle WebLogic sårbarhed og kan ofte omgå antivirussoftware, så downloader Sodinokibi en .zip fil med løsesum kode, skrevet i JavaScript, og bevæger sig gennem det inficerede netværk og krypterer filer, og tilføjer en tilfældig udvidelse til dem. Særligt farligt er det faktum, at Sodinokibi kan geninstallere sig selv, så længe den oprindelige løsesum kode ikke er slettet.
Stjæler Sodinokibi ransomware data?
At stjæle data fra ransomware ofre før kryptering af enheder, og bruge de stjålne filer som gidsel for at få betaling, er en taktik som Maze Ransomware operatører er begyndt at bruge. Siden fulgte Sodinokibi, DoppelPaymer og Nemty deres eksempel. Ifølge BleepingComputer, havde Sodinokibi ransomware operatører offentliggjort over 12 GB stjålne data “som angiveligt tilhører et selskab ved navn Brooks International”. Desuden er “andre hackere og kriminelle begyndt at distribuere og sælge disse data på hacker fora”, som du kan se på billedet nedenfor “, hvor et medlem sælger et link til de stjålne data for 8 kreditter, som er ca 2 euro værd”:
Kilde: BleepingComputer
Hvem blev offer for Sodinokibi ransomware?
Blandt de første ofre for Sodinokibi ransomware var to stater i Florida. SecurityBoulevard beskriver angrebene fra maj 2019:
Byen Riviera Beach, Florida, blev enige om at betale $600,000 for en dekrypteringsnøgle til at låse deres filer op. Flere uger senere, gav byen Lake City, Florida også efter og betalte en løsesum på $450,000. Hver af disse byer stod over for forstyrrelser i service efter at være blevet ramt. Nogle af disse tjenester omfattede e-mail, telefoner, politioptegnelser, den offentlige arbejds afdeling, biblioteket, 911 nødtelefonen, og generalkontorer. Fordi disse byer ikke havde personale eller vidensbase til at afhjælpe disse angreb, syntes løsesummen at være den bedste satsning.
Disse angreb blev efterfulgt af en anden imponerende en, mod Texas:
I et meget koordineret angreb, var hackere i stand til at nedbringe 22 separate kommuner, herunder byerne Borger og Keene. Gerningsmændene til angrebet bad derefter om en kollektiv løsesum på $ 2,5 millioner for at frigive alle fanget i nettet. Heldigvis modtog de inficerede Texas kommuner statsudstedte ressourcer fra Texas A & M University og Texas Military Department.
I august 2019, målretter Sodinokibi operatører PerCSoft, en virksomhed specialiseret i backup-tjenester til britiske tandlægekontorer: mere end 400 tandlægekontorer blev påvirket under angrebet. PerCSoft hævdede, at ingen data blev tilgået under angrebet de præsenterede som en virusinfektion, men det ser ud til, at “en privat Facebook-gruppe af it-fagfolk, der betjener tandlægeindustrien delte […] screenshots der antyder, at offervirksomheden har betalt en løsesum for at dekryptere data.” Det mest bemærkelsesværdige eksempel på et Sodinokibi ransomware angreb er nok den ene på Travelex, et berømt valutavekslings selskab. Om dette emne, bemærker SecurityBoulevard:
En unavngiven kilde i Travelex oplyste til The Wall Street Journal (WSJ), at selskabet betalte $2.3 millioner i Bitcoin i et forsøg på at genoprette funktionalitet til sine systemer efter et ransomware angreb. Travelex blev ramt med et ransomware angreb på nytårsaften, og det tog et par uger at genoprette nogle af deres grundlæggende tjenester, og forbruger siden var nødt til at vente til februar. Omfanget af angrebet var overvældende, for hackerene infiltrerede virksomhedens infrastruktur seks måneder før angrebet med ransomware. Hackerne har ikke bare dvælet rundt i netværket. De brugte tiden til at exfiltrære værdifulde oplysninger, 5GB i alt, som de derefter brugte til at afpresse virksomheden efter implementeringen af ransomware. […] I Travelex-angrebet brugte hackerne Sodinokibi ransomware og en unpatched kritisk sårbarhed i Pulse Secure VPN-servere. Virksomheder blev advaret om denne særlige VPN-sårbarhed, men nogle virksomheder opdaterede ikke deres systemer i tide.
Hvad kan du gøre for at forhindre Sodinokibi Ransomware?
Som Fernando Ruiz, chef for operationer på Europols Europæiske Cybercrime Center siger, “Kriminelle bag ransomware angreb tilpasser deres angreb vektorer, de er mere aggressive end tidligere – de krypterer ikke kun filerne, de exfiltrerer også data og gør det tilgængeligt”. For at forsvare din virksomhed fra denne form for trussel, er du nødt til at nærme dig sagen fra forskellige vinkler:
DEN FØRSTE ER UDDANNELSESORIENTERET:
LAV ALTID BACKUP AF DINE DATA!
Dette kan synes tech-relateret, men vi tænker det mere som almen viden: hvordan kan du ikke have sikkerhedskopier af dine vigtige data? Du bør gemme det både online og offline og tage tid til at teste din evne til at vende tilbage til sikkerhedskopier under en potentiel hændelse.
UDDAN DINE MEDARBEJDERE!
Brugerbevidsthed er en af de mest pålidelige metoder til at forhindre et angreb, så sørg for at tage dig tid til at uddanne dine medarbejdere og råde dem til at rapportere til sikkerhedsteams, så snart de bemærker noget usædvanligt. De bør være opmærksomme på phishing teknikker og andre social engineering taktikker cyberkriminelle kan bruge til at komme ind i din organisation.
DEN ANDEN – TEKNOLOGI-RELATEREDE:
HOLD DINE SYSTEMER OPDATEREDE.
Opdateringer hjælper dig med at lukke sikkerhedshuller, som mange virus bruger til at infiltrere dine computere. Siden beskæftigelsen med patches er en ressource- og tidskrævende opgave, er den bedste løsning for dig at holde dig sikker fra Sodinokibi og andre ransomware det kan du gøre ved at implementere en automatiseret løsning som vores Heimdal™ Patch & Asset Management.
croscreen id=15803]
BESKYT DIN E-MAIL.
Mange hackere er sikre på, at du ikke er opmærksom på, hvad dine e-mails rent faktisk indeholder, og håber du bliver inficeret ved at åbne en ondsindet vedhæftet fil eller klikke på et falsk link. Prøv altid at holde markøren over de links, du vil have adgang til, for at sikre, at de fører hen, hvor de skal føre hen, og åben aldrig vedhæftede filer eller få adgang til links, der modtages fra ukendte, uventede eller uønskede kilder. Du bør også tænke på en e-mail-beskyttelses løsning, ligesom vores Heimdal™ Email Security.
Heimdal® Email Security
- Completely secure your infrastructure against email-delivered threats;
- Deep content scanning for malicious attachments and links;
- Block Phishing and man-in-the-email attacks;
- Complete email-based reporting for compliance & auditing requirements;
FÅ EN PÅLIDELIG ANTIVIRUS.
En god antivirus er afgørende for cybersikkerheden af enhver virksomhed. For at være så beskyttet, som muligt, anbefaler vi, at du vælger et kraftfuldt værktøj, der kan tilbyde DNS-filtrering, scanning i realtid, trafikbaseret malwareblokering og AI-baseret beskyttelse med flere lag. Du kan også se på vores EDR Software – en sikkerhedspakke i flere lag, der samler trusselsopsporing, forebyggelse og afbødning i én pakke for at opnå den bedste endpointbeskyttelse.
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
Spekulerer du på, hvad du skal gøre i tilfælde af en infektion, og hvordan du fjerner Sodinokibi Ransomware?
Hvis din virksomhed bliver angrebet, eller du hører, at nogen du kender, har problemer med Sodinokibi ransomware, er den første ting du bør vide eller fortælle dem, ikke at betale løsesummen! Som FBI siger,
I nogle tilfælde, bliver ofre, der betalte en løsesum aldrig forsynet med dekrypteringsnøgler. Desuden, på grund af fejl i krypteringsalgoritmer af visse malwarevarianter, kan ofre ikke være i stand til at inddrive nogle eller alle af deres data, selv med en gyldig dekrypteringsnøgle. At Betale løsepenge opfordrer kriminelle til at målrette andre organisationer og giver en lokkende og lukrativ virksomhed til andre kriminelle. Men FBI forstår, at når virksomhederne står over for en manglende evne til at fungere, vil ledere evaluere alle muligheder for at beskytte deres aktionærer, medarbejdere og kunder. Uanset om du eller din organisation har besluttet at betale løsesummen, opfordrer FBI dig til at rapportere ransomware hændelser til de retshåndhævende myndigheder. Og dermed give efterforskere de kritiske oplysninger, de har brug for til at spore ransomware angribere, og holde dem ansvarlige […], og forhindre fremtidige angreb.
Du kan prøve at fjerne ransomware og, i det mindste delvist, gendanne dine data ved at følge et par trin:
TRIN 1: FJERN SODINOKIBI RANSOMWARE GENNEM “FEJLSIKRET TILSTAND MED NETVÆRK”
MalwareGuide forklarer: – til Windows XP / Windows 7:
Start pc’en i “Fejlsikret tilstand”. Klik på indstillingen “Start”, og tryk løbende på F8 under startprocessen, indtil menuen “Windows Avanceret indstilling” vises på skærmen. Vælg “Fejlsikret tilstand med netværk(“Safe Mode with Networking”)” på listen. Nu vises en Windows-startskærm på skrivebordet, og arbejdsstationen arbejder nu på “Fejlsikret tilstand med netværk”.
– til Windows 8:
Gå til “Startskærmen”. Skriv “Avanceret” i søgeresultaterne. Vælg indstillingen “Avanceret start” i indstillingen “Generelle pc-indstillinger”. Igen, skal du klikke på “Genstart nu” valgmulighed. Arbejdsstationen starter til “Advanced Startup Option Menu”. Tryk på knappen “Fejlfinding” og derefter på knappen “Avancerede indstillinger”. Tryk på “Startindstillinger” på “Avanceret indstillingsskærm”. Igen skal du klikke på knappen “Genstart”. Arbejdsstationen genstartes nu på skærmen “Startindstilling”. Næste er at trykke på F5 for at starte i fejlsikret tilstand i netværk.
– til Windows 10:
Tryk på Windows-logoet og på ikonet “Power”. I den nyåbnede menu skal du vælge “Genstart”, mens du hele tiden holder “Shift”-knappen på tastaturet nede. I det nyligt åbne vindue “Vælg en indstilling” skal du klikke på “Fejlfinding” og derefter på “Avancerede indstillinger”. Vælg “Startindstillinger”, og tryk på “Genstart”. I det næste vindue skal du klikke på “F5”-knappen på tastaturet.
TRIN 2: SLET SODINOKIBI RANSOMWARE VED HJÆLP AF “SYSTEMGENDANNELSE”
På dette trin, foreslår MalwareGuide:
Under “Start” skal du trykke kontinuerligt på F8-tasten, indtil menuen “Avanceret indstilling” vises. Vælg “Fejlsikret tilstand med kommandoprompt” på listen, og tryk derefter på “Enter”. Skriv “cd restore” i den nyåbnede kommandoprompt, og tryk derefter på “Enter”. Type: rstrui.exe og tryk på “ENTER”. Klik på “Næste” i det nye vindue. Vælg et af “Gendan point” og klik på “Næste”. (Dette trin vil genoprette arbejdsstationen til sin tidligere tid og dato før Sodinokibi ransomware infiltration i pc’en. Tryk på “Ja” i de nyåbnede vinduer.
Efter processen er færdig, du skal bruge et anti-malware værktøj til at scanne for eventuelle tilbageværende Sodinokibi ransomware filer.
Sodinokibi Ransomware: Afsluttende
Da der ikke er noget gratis dekrypterings værktøj eller en idiotsikker metode, der helt kan dekryptere Sodinokibi ransomware krypterede filer, og at betale løsesum for at få dine data tilbage fra hackere ikke bør være en mulighed, er forebyggelse fortsat den mest effektive tilgang. Uanset hvad du vælger, skal du huske, at Heimdal™ Security altid har din ryg, og at vores team er her for at hjælpe dig med at beskytte dit hjem og din virksomhed og for at skabe en cybersikkerhedskultur til gavn for alle, der ønsker at lære mere om det. Skriv en linje nedenfor, hvis du har kommentarer, spørgsmål eller forslag – vi lutter ører og kan ikke vente med at høre din mening!