Hvad er Sodinokibi (REvil)-ransomware?
Sodinokibi (også kendt som REvil eller Ransomware Evil), der først blev identificeret i 2019, blev udviklet som en privat ransomware-as-a-service (RaaS)-operation, der angiveligt har base i Rusland. Den store rækkevidde og effektivitet af Sodinokibi var tydelig nærmest omgående, eftersom den blev den fjerde mest almindelige type ransomware i sine første fire måneder.
RaaS-tilgangen til distribution betyder, at mange personer har haft adgang til ransomwarens kode, hvilket resulterer i en lang række varianter og tiltagende aggressive angreb fra forskellige vektorer, inkl. spam serverangreb. Dette gør den til en særligt farlig form for ransomware.
Denne artikel kigger på oprindelsen af Sodinokibi, hvordan den virker, og hvad man kan gøre for at sikre sit netværk mod den.
Prøv Avast Business Hub GRATIS i 30 dage
Alle virksomheder fortjener markedets bedste cybersikkerhed. Download Avast Business Hub, og prøv den i 30 dage, risikofrit.
Hvad er Sodinokibi/ REvil-ransomware?
Sodinokibi leveres i et ransomware-as-a-service (RaaS)-format, hvilket betyder, at der bruges affilierede selskaber til at distribuere ransomwaren, og at udviklere og affilierede selskaber deler de penge, der er erhvervet gennem løsepenge. Den deler ligheder med den kendte kode fra de berygtede hackergrupper DarkSide og GandCrab, som menes at stå bag hele 40% af alle verdens ransomware-infektioner.
Virussen leveres typisk gennem phishing-teknikker og narrer brugere til at åbne skadelige filer, der er forklædt som vedhæftede filer, dokumenter og regneark.
Fokusset for denne type malware er højprofilerede ransomware-angreb mod store organisationer og offentlige personer med det formål både at sikre store løsepenge og offentliggøre private oplysninger på gruppens egen blog. Sodinokibi er blevet brugt af cyberkriminelle til at:
- Stjæle ca. 1 TB data fra det kendte advokatfirma Grubman Shire Meiselas & Sacks, hvis klienter omfatter Madonna og Lady Gaga, i maj 2020
- Forsøge at afpresse Apple med stjålne produkttegninger i april 2021.
- Angribe den amerikanske tech-virksomhed HX5 i juli 2021. Dette resulterede i, at præsident Joe Biden lagde pres på Vladimir Putin, før han gjorde noget konkret mod gruppen, og er det mest højprofilerede Sodinokibi-angreb til dato.
Hvem står bag Sodinokibi-ransomware?
Oprindelsen af ransomwarens skabere har været svær at identificere. Til at starte med lod angrebene til at fokusere på Asien, men kort efter så man dem også i Europa. Én region, der ikke blev angrebet, var Rusland, hvilket tyder på, at malwaren kommer derfra.
En operation, der involverer 17 lande, resulterede i, at fem mistænkte med forbindelse til Sodinokibi/REvil blev anholdt. I januar 2022 annoncerede de russiske myndigheder, at gruppen var blevet opløst.
Selvom dette er en god nyhed, betyder det ikke, at truslen er ovre. Pga. ransomwarens distributionsform og udviklerens relation til andre grupper kunne Sodinokibi-koden stadig blive brugt eller ændret til at gå efter nye angrebsvektorer.
Hvordan virker Sodinokibi-ransomware?
Én af de primære udfordringer med Sodinokibi-ransomwaren er at detektere den. Meget af dens kode er forklædt eller krypteret, hvilket gør det svært for antivirus-scannere at identificere den – dette understreger vigtigheden af at etablere en holistisk sikkerhedsstrategi med flere lag, der kombinerer træning, best practices og software til at identificere potentielle trusler så tidligt som muligt.
I dette afsnit kigger vi nærmere på angrebsprocesserne for bedre at forstå, hvordan ransomwaren fungerer.
Få mere at vide om andre højprofilerede ransomware-typer ved at læse vores vejledninger om Phobos og WannaCry.
1. Initialisering af ransomwaren
Et angreb begynder ved at sikre, at det er den eneste proces, der kører på målets slutpunkt. Derefter kører den exploits for at identificere sårbarheder, der skyldes manglende sikkerhedsrettelser. Når dette er gjort, er det næste trin at tilgå dens tilladelser for at få fulde administratorrettigheder. Efterfølgende starter den i administratortilstand.
Systemet scannes så for sprog-id'er. Der er inkluderet en undtagelsesliste i koden, som identificerer lande efter enhedssprog, så ransomwaren ikke angriber slutpunkter i østeuropæiske lande. Denne information har hjulpet efterforskerne med at identificere, at hackergruppen arbejdede fra Rusland.
Filer i Windows-sikkerhedskopisystemet (skyggekopier) slettes derefter, og boot-politikeditoren bruges til at deaktivere gendannelsestilstande. Systemet scannes derefter for sikkerhedskopimapper, som slettes og overskrives for at gøre dem umulige at gendanne.
2. Nøglegenerering og -udveksling
Krypteringsnøgler oprettes i par – én er offentligt tilgængelig, den anden har angriberen. Uden begge nøgler er det næsten umuligt at gendanne de stjålne data. Sodinokibi anvender en nøglegenererings- og -udvekslingsalgoritme kendt som en Elliptic-curve Diffie-Hellman (ECDH).
3. Kryptering
Sodinokibi anvender to typer kryptering:
- AES bruges til at kryptere den private nøgle og til dataoverførsel på tværs af netværk.
- Salsa20 bruges til at kryptere brugerfiler.
Brugerens dokumenter indsamles fra alle filer, der ikke er blevet markeret som fritaget og krypteret med Salsa20, hvilket genererer en unik nøgle for hver fil. Det vil være tydeligt, hvilke filer der er blevet krypteret, da ransomwaren føjer et filtypenavn til hver påvirket fil.
Operationen vil nu klargøre dataene til at blive leveret til angriberens server.
4. Krav
Efter en fil er blevet krypteret, oprettes der en løsepengebesked, som placeres i den samme mappe. Denne proces gentages for hver mappe, der indeholder filer. Der inkluderes en skabelon til dette i Sodinokibi-ransomware, som opdateres automatisk med brugerens id og andre relevante oplysninger, inkl. en nøgle.
Sodinokibi-dekryptering
Løsepengebeskeden giver klare instruktioner i, hvordan brugerne kan gendanne deres data. Dette inkluderer installation af en TOR-browser, at følge et unikt link og angive en nøgle.
Det er på denne side, at detaljerne om løsepengene ses. Brugere skal betale for at downloade dekrypteringssoftware og får en tidsfrist til at gøre det. Overskrider man tidsfristen, fordobles prisen. Betalingen skal ske med Bitcoin.
I september 2021 blev det annonceret, at cybersikkerhedsfirmaer og politiet i USA havde udviklet en gratis, universel dekrypteringsnøgle, som kunne returnere filer til virksomheder, der blev angrebet før 13. juli 2021. Men for at beskytte dine forretningsdata mod flere angreb, er det nødvendigt med et ransomware-beskyttelsesværktøj, da nøglen ikke med garanti virker på krypteringer, som finder sted efter denne dato.
Beskyttelse mod et REvil-angreb
Eftersom det er en så varieret og farlig form for ransomware, skal erhvervsbrugere sikre, at deres netværk og enheder er beskyttet mod truslen fra et Sodinokibi/REvil-ransomware-angreb. De nødvendige trin er:
- Jævnlig opdatering af systemer. Sårbarheder er en almindelig vej ind i systemer, hvilket gør det nødvendigt at installere rettelser og opdateringer, så snart de bliver tilgængelige.
- Cybersikkerhedstræning til medarbejdere. Menneskelige fejl er en af de primære årsager til et databrud. Undgå dette ved at give træning til dine medarbejdere i alle niveauer af virksomheden. Avast Business' cybersikkerhedsquiz og læringsressource hjælper dig med at vurdere basisviden om emnet og identificere områder, hvor der kræves mere træning.
- Sikkerhedskopiering af data. Som navnet antyder, er ransomware-angreb designet til at stjæle data og sælge dem tilbage til ejerne. Ved at have sikre, eksterne sikkerhedskopier vil vigtige data og dokumenter altid være sikre og tilgængelige, selv hvis det værste skulle ske.
- Vælg, hvem der har adgang. Adgangstilladelser bør være strengt begrænset til dem, der har brug for direkte adgang. Kontrollér firmatilladelser for at sikre, at administratorrettigheder holdes på et minimum, hvilket reducerer adgang til netværkskontroller, hvis en brugerkonto bliver brudt.
- Benyt best practices for sikkerhed. En anden måde at beskytte firmadata på er ved at sikre, at der er implementeret best practices for sikkerhed. Dette bør inkludere et krav om stærke adgangskoder, en proces med at markere mistænkelig aktivitet og eksterne arbejdsaftaler for at sikre, at enheder er opdateret og beskyttet. Som del af dette bør ransomware-beskyttelse og malwarescannere være installeret på alle slutpunkter, der er forbundet til firmanetværket, for at hjælpe med at detektere og fjerne ransomware.
- Udfør jævnlige inspektioner og sårbarhedsvurderinger. Hændelseslogge bør tjekkes jævnligt, så usædvanlig aktivitet som f.eks. høj aktivitet uden for åbningstid hurtigt kan opdages og håndteres.
- Hav en nødplan. Evnen til at kunne håndtere en IT-katastrofe er altafgørende – og det gælder hele den digitale verden. Sørg for, at der jævnligt foretages angrebsøvelser, så medarbejdere ved, hvem de skal kontakte i tilfælde af et ransomware-angreb. Hav også en forretningskontinuitetsplan klar, så virksomheden kan fortsætte driften efter et angreb
Beskyt mod Sodinokibi-ransomware
Medlemmer af gruppen bag Sodinokibi/REvil-ransomware er muligvis blevet pågrebet i januar 2022, men deres malware er blot én af mange. Beskyt din virksomhed mod en lang række angreb med Avast Business Hub, vores integrerede, cloudbaserede sikkerhedsplatform til SMV'er.