SodInokibi成为企业的多样化,多矢量威胁
根据McAfee的高级威胁研究(ATR)团队产生的证据,使用多个目标分配方法,由多个国家的附属组利用来自多个国家的附属组进行高度危险的鸡型赎回金。
由于它于2019年4月在Cisco Talos'Abs中首次确定,苏丹基比也被称为Revil,因此成为野外最活跃而危险的赎金软件威胁之一。
9月,SecureWorks的研究人员因其负责Gandcrab赎金的同一组创造和运营而致力于享有高度的信心,称它有“几乎爆炸权利”。这证实了安全研究员Brian Krebs的早期调查。
在最近几周的一系列博客帖子中,McAfee的ATR团队一直在洞察附属公司使用SodInokibi使用的方法,并且根据分析师Jessica Saavedra-Morales的说法,发现群体被吸引到其蜜罐网络“像飞蛾一样”一个火焰“。
在最新的博客文章中,Saavedra-Morales透露,不同的附属公司正在使用几种不同的攻击方法。
这些包括通过矛网络钓鱼和武器化文件分配钠辛基;批量文件从Pastebin下载有效载荷并将其注入目标OS上的进程;损害远程桌面协议(RDPS)以及使用脚本文件和密码开裂工具将其分发到目标网络上;并妥协IT托管服务提供商(MSP)由受害者使用并使用其系统传播它。
ATR Team在2019年6月和9月之间运行了几个RDP蜜罐,并观察了几个群体损害了它们,然后它可以监控 - 断开行动者准备或即将执行的那一刻犯罪行动。
它的蜜罐从世界各地的知识产权地址绘制了行动者,但ATR团队观察到,像Gandcrab,SodInokibi黑名单既是波斯(Farsi)和罗马尼亚语语言,那么它就不会执行它,如果它找到了安装的两种语言中的任何一种语言受害者的机器。这将建议大量的附属公司位于伊朗和罗马尼亚。
供应商还通过将帖子与位于与比特币传输迹线的地下论坛联系起来的帖子,分享了一些洞察力,通过将帖子联系在地下论坛上 - 在进程中揭示了与Gandcrab的关系的进程 - 并随后从一个有前途的联盟钱包中看到的交易。
McAfee发现SodInokibi ransoms范围为0.44和0.45比特币,平均为4,000美元(€3,580 / 3,080英镑)。在一个72小时内,它在价值287,499美元的赎金支付,一个基于一个演员在线共享的列表的统计数据。
它发现,目标联盟会员通过赎金说明所建议的,通过赎金票据汇款来获得资金,这是他们向服务支付了一些费用,还将一些比特币发送到一个名为bitmix.biz的地下混音器,以吸收以下事务,使其恢复到最终钱包难以使用。
它表示,它还观察到附属公司在Hydra市场购买服务的一些例子,提供了一个地下俄罗斯市场,提供了许多服务和非法产品,包括毒品,为比特币支付。
Saavedra-Morales有一些关于如何保护您的业务从苏丹基比保护业务的指导,突出了分层防御策略的重要性。
“正如所示,我们正面临购买,蛮力或矛盾的人入贵公司,或者使用可以访问您的网络的信任第三方,”她写道。
“某些组织保护自己的组织包括使用沙箱,备份数据,教育用户和限制访问。
“只要我们支持赎金软件模型,勒索瓶就会像过去四年一样存在。我们不能独自打击赎金软件,并必须团结为公共和私人派对。McAfee是Nomoreransom.org的创始合作伙伴之一,并在全球范围内支持兰赎人士的执法机构。“