安基网 首页 资讯 安全报 查看内容

都说猖狂的勒索软件——Sodinokibi,你是否了解?

2019-9-4 01:49| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 转自Bleeping Computer,作者 Ionut Ilascu在勒索软件领域相对较新的Sodinokibi,已经为其管理人员和附属机构带来了可观的利润,一些受害者支付了高达24万美元,而网络感染平均净赚15万美元。当你看到恶意软件最近的活动时,这些数字并不令人惊讶。8月16日,Sodinokibi袭击了德克萨斯州的22个地方政府 ...

转自Bleeping Computer,作者 Ionut Ilascu

在勒索软件领域相对较新的Sodinokibi,已经为其管理人员和附属机构带来了可观的利润,一些受害者支付了高达24万美元,而网络感染平均净赚15万美元。

当你看到恶意软件最近的活动时,这些数字并不令人惊讶。8月16日,Sodinokibi袭击了德克萨斯州的22个地方政府,要求共250万美元的赎金。它破坏了多个msp(托管服务提供商)向客户传播恶意软件的行为。



最近的受害者是另一个MSP,它为牙科诊所提供数据备份服务。在这个案件中,据称每名客户的赎金为5 000美元;数百人受到影响。

自今年4月被发现以来,Sodinokibi(又名REvil)已经变得多产,并迅速在勒索软件行业和安全研究领域的网络罪犯中赢得了声誉。

5月中旬,一个名为UNKN的Sodinokibi广告客户在地下论坛上存入了超过10万美元,以表明他们是认真的。


这种新型文件加密恶意软件的广告从7月初开始在至少两个论坛上出现。UNKN表示,他们希望扩大活动范围,这是一家私人企业,“座位有限”,可供有经验的个人使用。

恶意软件研究人员达米安(Damian)向BleepingComputer提供的声明截图显示,UNKN将恶意软件描述为“私人勒索软件”,灵活程度足以适应RaaS的商业模式。


UNKN最初向关联公司提供了60%的付款,在前三笔交易后增加了10%。这位演员还明确表示,作为这个私人项目的一部分,他们不会与说英语的子公司合作。

该勒索软件的名称并未在论坛帖子中披露,但研究人员告诉我们,他看到了该恶意软件管理面板的截图,显示的机器人ID与Sodinokibi看起来一样。

最近,就有一名受害者支付了27.7枚比特币,交易时兑换成超过22万美元。


达米安的另一项抓捕行动表明,这个勒索软件项目非常有利可图,一些受害者只需支付4个比特币(约合4000美元),而其他人则在转换时支付26个比特币,约合24万美元。

对于那些可以感染整个网络的附属机构,REvil/Sodinokibi开发人员允许受害者为整个受感染的计算机购买解密工具。根据BleepingComputer分享的论坛帖子,这些网络范围的解密器平均成本为15万美元。

随着收入的涌入,其他恶意软件经销商正试图进入该程序,但UNKN昨日表示,目前没有子公司的空缺。


当他们开始做广告的时候,威胁行为者已经得到了地下勒索软件社区中受人尊敬的成员的支持。

高级情报(AdvIntel)安全研究主管Yelisey Boguslavskiy告诉BleepingComputer,UNKN在7月4日的一个网络犯罪论坛上注册了一个账户,很明显,他们一直活跃在这个社区之外。

两名专门从事勒索软件攻击的知名社区成员支持UNKN,并透露他们已经加入了该联盟项目,表明他们已经知道自己在与谁打交道。


论坛成员Lalartu透露,他们是在GandCrab项目破产后开始与Sodinokibi合作的。他们赞扬新RaaS披露的这一举措对盈利产生了重大影响,“不仅增长,还突破了天花板,进一步增长。”

今年6月,Sodinokibi上开始了一场讨论,大多数论坛成员对新的勒索软件及其合法性表示怀疑。UNKN提交联合报价后,该线程很快被删除。


Sodinokibi是在研究人员发现它通过利用一个关键的反序列化漏洞部署在Oracle WebLogic服务器上时被发现的。

在感染Sodinokibi病毒的同一系统上,网络罪犯在几小时后也安装了GandCrab。四月底,GandCrab的管理人员宣布他们将在20天内关闭商店。他们遵守了诺言。

在GandCrab ransomwareas -as-a-service (RaaS)关闭后不久,Sodinokibi勒索软件的运营商就开始寻找合作伙伴来发布他们的软件。


地下对新产品的反应表明,这可能与现已关闭的GandCrab行动的管理人员或附属机构有关。

一些恶意软件分析人士指出,这两种勒索软件在代码级别上有相似之处,尽管两者之间存在很多差异。

然而,一个相似之处是,这两个恶意软件家族的管理员都不会在独联体地区开展业务。这包括俄罗斯、乌克兰、摩尔多瓦、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、亚美尼亚、塔吉克斯坦、土库曼斯坦和乌兹别克斯坦。


随着恶意软件的迅速升级,这些面包屑似乎暗示了GandCrab团队或其附属机构的参与。他们已经在私人论坛上建立了联系,这让他们能够迅速推广Sodinokibi,并对自己的伴侣有选择性。

目前还没有明确的、不可否认的证据表明,Sodinokibi是由管理GandCrab的同一个人管理的,但他们显然知道勒索软件的把戏,并热衷于赚钱。

声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

精彩在后面

Hi,我是超级盾

更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!

超级盾:从现在开始,我的每一句话都是认真的。

如果,你被攻击了,别打110、119、120,来这里看着就行。

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6732284283613889036/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部