我们仔细研究勒索软件即服务模型
在除夕在2019年,货币兑换旅行品发现它已感染了Sodinokibi勒索软件,由于黑客要求600万美元用于返回客户数据。
事件迫使该公司暂时离线,Traverex坚持认为由于网络攻击而没有采用个人数据。
安全研究人员的分析Troy Mursch发现尽管几个月前发出警告,但该Traverex未能修补其脆弱的脉搏安全VPN服务器。
Infosec从业者Kevin Beaumont报告留下这些服务器的那样,打开了攻击者的大门,尤其是那些挥舞苏迪尼基比的人渗透到企业网络上。
什么是Sodinokibi勒索软件?
Sodinokibi,也称为“ Revil”,是2019年4月发现的勒索软件(RAAS)模型。
它的多种感染向量包括利用已知的安全漏洞和网络钓鱼活动。
Sodinokibi对用户的文件进行加密,并通过利用Oracle Weblogic中的漏洞来获得管理访问(beplay体育能用吗CVE-2019-2725)。
由于与甘德克拉布(Gandcrab)的相似之处,它引起了特别的关注去年关闭据报道,网络犯罪分子超过20亿美元。
尽管有传言说索迪诺基比可能是甘德克拉布的继任者,但其他人则认为Sodinokibi只是根据Gandcrab的源代码而建造的。
跟踪Sodinokibi的网络安全公司VMRay的研究人员Tamas Boczan告诉每日swbeplay2018官网ig:“作者可能不一样,而是两个恶意软件家庭似乎确实基于相同的源代码。
“在一个地下论坛中,Sodinokibi勒索软件的作者声称他们曾经是甘德克拉布的分支机构,后来获得了其源代码在自己的操作中使用它。”
有多少人受到影响?
在过去的12个月中,Sodinokibi Ransomware一直是许多引人注目的网络攻击背后的罪魁祸首,尽管确切的受害者人数尚不清楚。
回到八月,Sodinokibi勒索软件削弱了整个德克萨斯州的地方政府 - 该月晚些时候感染远程数据备份服务由美国各地的牙科实践使用。
在十二月,勒索软件的针对纽约机场同月美国主要的数据中心提供商Cyrus一号成为了Sodinokibi统治的受害者。
显然是从我们的IT人员配备组织ARTECH信息系统中偷走的数据,是也在一月份在线发布攻击者声称它未能支付由索迪诺基比管理的赎金。
不用说,Sodinokibi活动没有放慢脚步的迹象。
您如何防止sodinokibi?
可以采取一些基本步骤来防止Sodinokibi勒索软件攻击:
- 已知Sodinokibi针对已发表的漏洞,因此确保您的所有软件和扩展名是最新的
- 注意潜在有害的网络钓鱼电子邮件,并且切勿打开您不信任的附件
- 也值得远程备份文件,以确保您的云服务器受到唯一,强密码和两因素身份验证的保护
F-Secure的研究人员BertSteppé告诉每日swbeplay2018官网ig:“'普通'计算机用户也可以感染Sodinokibi。这是一种勒索软件即服务,因此取决于分支机构的分配方式。
“发现Sodinokibi几乎以各种可能的方式分发:垃圾邮件广告系列,以及假或折衷的网站,beplay体育能用吗恶化,被黑的MSP和脆弱的服务器。
“也就是说,索迪诺基比的分支机构似乎主要关注他们可以要求大钱的实例。”
Boczan补充说:“为了减少初始攻击表面,请确保面向公共的软件是最新的,安全配置并使用两个因素身份验证。
“将宏执行保持在办公室禁用中,如果可能的话,请勿打开未知发件人的文档附件。”
可以删除sodinokibi吗?
勒索软件将受害者的文件锁定,以便获得访问需要一个解密密钥。无论勒索软件变体如何,情况都是相同的。
研究人员可以通过没有更多的赎金项目。
不幸的是,到目前为止,尚无免费解密器可用于访问受Sodinokibi勒索软件影响的文件。
Boczan为可能感染Sodinokibi或其他勒索软件变体的人提供了其他建议。
他说:“通常不建议支付赎金。”
“建议的修复是要缩小防御的差距,以使恶意软件无法重新感染系统,然后重新安装受感染的机器,并在备份中恢复文件,如果有的话。”
