Qu'est-ce que Sodinokibi Ransomware et comment s'en protéger ?
LeRançongiciel Sodinokibile paquet est un Ransomware en tant que service système. Il y a déjà eu quelques virus ransomware comme celui-ci, et Sodinokibi est actuellement le seul RaaS fonctionnement du système
Les entreprises connaissent bien Logiciel en tant que service concept ( SaaS ). Dans ce modèle de service cloud, les abonnés accèdent au logiciel de leur choix sans l'héberger sur leurs serveurs. Le package comprend généralement également un espace de stockage pour les données opérationnelles.
Le SaaS est un modèle idéal pour équipes de hackers qui souhaitent collaborer avec d'autres groupes sans partager leur code. Au lieu d'envoyer leurs programmes à l'autre équipe, les pirates créateurs ont mis en place un portail. Celui-ci héberge le package antivirus et l'exécute à la demande une fois que l'utilisateur saisit les paramètres de l'attaque, comme un fichier contenant une liste d'e-mails à envoyer.
Le modèle RaaS n’est pas tout à fait le même que le SaaS car il n’est pas ouvert à tous. Le groupe de hackers propriétaire recherche les partenaires parmi les groupes qui veulent faire les démarches et les cibles de recherche. Les développeurs ont ensuite donné à d'autres équipes accès à leur RaaS pour un usage spécifique et ont accepté la campagne d'attaque. Lorsque l'attaque survient, les deux groupes partager le paiement qui est reçu.
Attaques RaaS
De nombreuses campagnes d'attaque de ransomware impliquent l'envoi de centaines de milliers d'e-mails avec un installateur déguisé dans un document en une pièce-jointe . Les pirates informatiques qui dirigent ces programmes jouent à un jeu de chiffres. Ils estiment qu’un certain pourcentage de destinataires croiront à l’arnaque contenue dans le message électronique. Un pourcentage de ce nombre ouvrira la pièce jointe et activer l'installateur . Parmi les victimes infectées, une partie décidera de payer la rançon.
Envoi massif de courrier Les attaques de ransomware s’adressent généralement au grand public et demandent une rançon relativement faible – parfois aussi basse que 10 $. Campagnes de ransomware visant grandes entreprises il faut être beaucoup plus sophistiqué. Ils prennent beaucoup de temps à mettre en place et à impliquer doxing une personne qui travaille dans l'entreprise. Les pirates informatiques travaillant sur ces campagnes peuvent mettre des mois à enquêter sur l’organisation et les personnes qui y travaillent. Ils cartographient la hiérarchie organisationnelle, à la recherche d'une cible qui aura privilèges d'accès élevés .
Ciblé Les campagnes de ransomware prennent beaucoup de temps et nécessitent des compétences spécialisées. Cependant, ils récoltent également des récompenses très élevées par piqûre qui dépassent de loin le montant d'argent qui peut être gagné en arnaquant de nombreuses personnes pour une petite somme d'argent par coup.
Le ransomware Sodinokibi est utilisé pour cibler, attaques de grande valeur . Il comprend des logiciels sophistiqués fournis par des programmeurs expérimentés au sein d’une équipe composée de plusieurs groupes d’escrocs spécialisés en profilage social. Chaque équipe se concentre sur son cœur de métier.
D’où vient le rançongiciel Sodionokibi ?
Sodinokibi est également connu sous le nom de Rançon mal et REvil . L’équipe de hackers derrière cela porte le même nom. Les analystes en cybersécurité inventent ces noms. L'équipe elle-même ne s'identifie pas dans ses attaques.
Le groupe REvil fait partie des équipes de hackers les moins connues. Ce que l'on sait, c'est que le groupe est basé à Russie . Les analystes en cybersécurité soupçonnent que le groupe REvil est une relance de l'équipe de hackers GandCrab. En effet, REvil est apparu en avril 2019, juste avant GandCrab a annoncé sa dissolution. L’équipe de hackers GandCrab est considérée comme responsable d’environ 40 % de toutes les infections par ransomware dans le monde à ce jour. Ils étaient les plus grands experts dans le domaine, et les des compétences exceptionnelles du groupe Sodinokibi est une autre indication qu'ils étaient autrefois membres de GandCrab.
Les renseignements militaires russes, GRU , travaille avec plusieurs équipes de hackers pour produire des armes pour sa stratégie de guerre hybride. PasPetya , développé par Ver des sables , et BadRabbit, du Énergie noire groupe, sont deux exemples de cette formule, qui ont tous deux donné lieu à des campagnes d’attaques contre rançon pour porter atteinte à la sécurité de l’Ukraine.
Le ransomware Sodinokibi ne fait pas partie de ce syndicat de guerre hybride. C'est le produit d'un indépendant groupe de hackers motivé par le profit. Cependant, le logiciel présente certaines caractéristiques typiques des logiciels malveillants russes, ce qui explique pourquoi les analystes ont pu déterminer l'emplacement source probable du ransomware.
Le programme de chiffrement intégré au progiciel ne fonctionnera pas sur les cibles s'il détecte que le langue du système est défini sur le russe ou l’une des langues des États de l’ex-Union soviétique. Cette exception est très typique des logiciels malveillants produits en Russie. C’est probablement moins par patriotisme que par pragmatisme. Les autorités russes poursuivent rarement les pirates informatiques tant qu’ils ne lancent pas d’attaques en Russie ou chez l’un de ses alliés.
Comment se déroule une attaque Sodinokibi ?
Le code du ransomware Sodinokibi est très bien écrit, et sa structure le rend difficile à détecter. Contrairement à la plupart des ransomwares, l'intégralité du programme est autonome – il n’appelle pas d’API sur des serveurs distants. Cela supprime sa susceptibilité à de nombreux AV recherchant des traits. Le système nécessite Privilèges d'administrateur pour s'exécuter, c'est pourquoi les attaquants doivent cibler sa diffusion sur un compte utilisateur spécifique au sein d'une entreprise.
L'utilisateur cible est attiré par une série d'e-mails de phishing, chacun contenant un lien prétendant être pour un téléchargement nécessaire. Les attaques font généralement l’objet de recherches approfondies et chaque e-mail est rédigé individuellement, de sorte que le sujet de son contenu peut porter sur n’importe quel sujet. Le téléchargement initial est écrit en J avaScript, et lorsque l'utilisateur double-clique dessus, le programme s'exécute avec WScript .
Comme JavaScript s'exécute à partir du code plutôt qu'à partir d'une version conforme, le code Sodinokibi est brouillé et décodé par étapes au fur et à mesure de l'exécution du programme. Il existe également plusieurs routines PowerShell dans le code, qui sont également brouillées. Le système comprend des processus pour esquiver Contrôle d'accès des utilisateurs chèques (UAC).
Le ransomware exploite un Serveur Oracle WebLogic vulnérabilité pour accéder à un ordinateur. Une fois qu'il fonctionne sur un périphérique du réseau, il peut se déplacer latéralement via les services de transport de WebLogic Server vers d'autres points de terminaison sans avoir besoin d'informations d'identification spécifiques à ces périphériques. L'utilisation de WebLogic Server pour gérer des sites Web rend également ces systèmes vulnérables aux ransomwares. Le processus de cryptage recherche également serveurs de sauvegarde et les chiffre également.
Les fichiers de données sont cryptés avec le Salsa20 chiffrement et les communications avec le serveur de contrôle du ransomware sont protégées par AES chiffrement. Le ransomware extrait également les données des fichiers et les transfère vers les serveurs Sodinokibi. Une partie de la menace émise par les pirates informatiques est qu'ils publieront les données découvertes sur leur site Web, appelé Bon blog, si la rançon n'est pas payée.
La rançon Sodinokibi
Les analystes en cybersécurité rapportent que le ransomware Sodinokibi exige un paiement de 0,32806964 Bitcoin, soit environ 11 800 $. Cependant, les demandes de rançon individuelles liées aux attaques contre des entreprises juridiques et de divertissement de premier plan ont été beaucoup plus élevées. Le groupe a affirmé qu'il espérait gagner 100 millions de dollars en 2020.
Si le groupe ne parvient pas à obtenir la rançon d’une cible, il tentera de vendre les données volées à d'autres, laissant à la victime des fichiers verrouillés auxquels il est impossible d'accéder. Cela s’est produit en mai 2020, lorsque le groupe a affirmé avoir attaqué le président Donald Trump. Ils ont demandé 42 millions de dollars mais ne l’ont pas obtenu, ils ont donc vendu les données récoltées à quelqu’un d’autre pour un montant non divulgué.
Lady Gaga a refusé de payer une rançon en mai 2020 pour des documents la concernant qui étaient cryptés dans les ordinateurs de ses conseillers juridiques. Le groupe a rendu ces documents publics. Une menace de divulguer des documents sur Madone le même mois, a été annulé. Peut-être , le chanteur a payé la rançon à la dernière minute.
En 2021, le groupe Sodinokibi a lancé une série d'attaques contre de grandes organisations, dont une contre le fabricant d'ordinateurs, Acer . Le groupe a exigé 50 millions de dollars, puis 100 millions de dollars après le non-respect du délai initial. Le groupe a également attaqué Ordinateur Quanta , un fournisseur d'Apple, et a exigé 50 millions de dollars. En mai 2021, une entreprise brésilienne de transformation de viande JBS S.A. payé une rançon de 11 millions de dollars.
N’oubliez pas que le groupe Sodinokibi n’attaque personne directement. D’autres cybercriminels font le sale boulot, et Sodinokibi reçoit une part pour la fourniture du ransomware.
Se défendre contre le rançongiciel Sodinokibi
Le ransomware Sodinokibi est toujours en activité . Il s’agit d’un système RaaS qui peut être utilisé comme outil par d’autres pirates. Il existe de nombreux pirates informatiques dans le monde qui possèdent des compétences en matière de profilage social mais aucune capacité de programmation. Le ransomware Sodinokibi est très bien écrit et peut éviter d'être repéré par les systèmes antivirus traditionnels.
Le ransomware Sodinokibi se télécharge sur les fenêtres et nécessite des privilèges d'administrateur. Il ne s'agit que d'une menace pour les entreprises exécutant Oracle WebLogic Server. Supposons que vous accordiez l'accès administrateur à tous les utilisateurs sur leurs points de terminaison. Dans ce cas, vous rendez l’ensemble de votre système vulnérable car le ransomware Sodinokibi n’a besoin que deh privilèges dix-huit sur le premier ordinateur qu'il infecte. À partir de là, il peut accéder à d’autres appareils sans disposer de droits d’accès élevés à ces points de terminaison.
La première défense que vous devez mettre en œuvre est de éduquer les utilisateurs contre le suivi de liens dans des e-mails ou le téléchargement de pièces jointes. Vous devriez également chercher des moyens de restreindre les privilèges d'administrateur à tous les utilisateurs, de sorte que seuls les techniciens du support informatique disposent de ce niveau d'accès.
Si tu ne cours pas Serveur Oracle WebLogic , vous n'avez pas à vous soucier du ransomware Sodinokibi. Cependant, ce n’est pas le seul ransomware en circulation, vous devrez donc installer des systèmes de sécurité intelligents pour vous en protéger.
Les meilleurs outils pour se défendre contre le ransomware Sodinokibi
Dans presque tous les cas, les ransomwares pénètrent dans votre système via les actions des utilisateurs. Les utilisateurs sont amenés à télécharger ou à installer cette catégorie de logiciels malveillants. Ainsi, les outils dont vous avez besoin pour vous protéger contre ce type de malware sont détection et réponse des points finaux systèmes.
Les données sur les clients et les individus sont toujours une cible pour les pirates. Vous avez besoin d'un logiciel spécialisé pour protéger ces informations contre la falsification ou le vol.
Voici deux excellents packages de sécurité que vous devriez considérer.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un package de détection et de réponse aux points de terminaison qui comprend des modules installés sur chaque point de terminaison ainsi qu'un système de surveillance basé sur le cloud. Les deux moitiés du système interagissent avec les agents du périphérique qui téléchargent les données d'activité et le contrôleur qui les renvoie. renseignement sur les menaces et les commandes de réponse.
L'agent de point de terminaison est un package de sécurité important. Il peut continuer à protéger un point final même s'il est coupé du réseau et d'Internet. Ce système de protection des points finaux est également disponible sous forme de package autonome, appelé CrowdStrike Falcon Empêcher .
Le système de surveillance coordonné d'Insight est utile pour la protection contre Sodinokibi et autres ransomwares qui peuvent se propager. Dès qu’un agent d’appareil détecte des activités suspectes, les agents de tous les autres appareils sont mis en état d’alerte. Le système peut mettre en œuvre une atténuation des menaces, y compris des réponses automatisées qui peuvent suspendre un compte utilisateur et isoler un appareil du réseau pour empêcher la propagation du ransomware.
Le contrôleur Insight basé sur le cloud est également alimenté renseignement sur les menaces de CrowdStrike, transmis dans les mises à jour d'algorithmes aux agents de point de terminaison. Le système de sécurité ne s’appuie pas sur une liste de fichiers malveillants à surveiller ; au lieu de cela, il recherche dans toutes les activités les comportements suspects. Il est idéal pour repérer attaques du jour zéro .
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est conçu pour protéger les données et les fichiers. Il s'agit d'un progiciel sur site qui s'installe sur Serveur Windows, et il surveille les appareils qui exécutent Windows – se connectant sur le réseau. Ce système de sécurité convient aux entreprises se conformant aux PCI DSS , HIPAA , et RGPD .
DataSecurity Plus effectue une découverte de données routine qui recherche puis catégorise toutes les données sensibles détenues par l'entreprise. Il possède également un moniteur d'intégrité des fichiers . Cela détecte immédiatement toute modification non autorisée des fichiers et déclenche des alertes. Vous découvrirez l'activité du Sodinokibi à la seconde où il tenterait de chiffrer le premier fichier. Le malware n’aurait pas non plus la chance de se propager avant d’être remarqué.
DataSecurity Plus est disponible pour un essai gratuit de 30 jours .