Выкуп в биткоинах или потеря данных: что такое Sodinokibi и как с ним бороться

Софья Федосеева

Вирусы-вымогатели уже не новая, но по-прежнему реальная угроза для компаний. Хакеры постоянно придумывают новые зловреды, которые подстраиваются под системы защиты. Одна из таких программ — Sodinokibi.

Владимир Иванов, руководитель службы информационной безопасности Acronis, рассказывает об этой киберугрозе.

Выкуп в биткоинах или потеря данных: что такое Sodinokibi и как с ним бороться

Владимир Иванов

Пока весь мир готовился к празднованию Нового года, Travelex столкнулась с разрушительной программой-вымогателем. В первые часы 31 декабря валютная компания, входящая в холдинг FinabIr, подверглась атаке Sodinokibi. 

Эта мощная и очень опасная программа зашифровала важные файлы и оставила на взломанных компьютерах README-файлы. Согласно указаниям в этих файлах, Travelex должна заплатить шестизначную сумму в биткоинах через домен верхнего уровня, зарегистрированный в Китае. Хакеры направили сотрудников компании на сайт, где пользователи должны ввести ключ доступа, чтобы получить инструкции об уплате выкупа.

Из-за атаки сайты Travelex в 20 странах оказались недоступны, и пункты обмена валюты в аэропортах остались без связи с интернетом и доступа к электронной почте. 

Сообщается, что заражены компьютеры, на которых хранится конфиденциальная информация, включая имена и банковские реквизиты клиентов. Атака Soninokibi стала причиной не только приостановки операций Travelex, но и сбоев в работе таких банков, как Barclays, Virgin Money и Sainsbury’s.

IT-специалисты компании с 31 декабря пытаются восстановить поврежденные системы и предотвратить распространение вируса. В Travelex отказались рассказывать о том, планирует ли компания платить выкуп, но в любом случае ситуация губительна для репутации компании.

Узнайте, как повысить продажи с помощью таргетированной SMS-рекламы, в нашем материале.

Имиджу компании еще больше навредила последующая новость: стало известно, что Travelex месяцами не исправляла найденную уязвимость в серверах Pulse Secure VPN, которые она использует для удаленного доступа в интернет.

Эксперты обнаружили, что в сервисах Pulse Secure есть уязвимости, с помощью которых можно получить скрытый доступ к сети организации. В ответ на это в апреле прошлого года Pulse Secure выпустила пояснения и патчи. 

В сентябре специалисты по кибербезопасности предупредили тысячи компаний о том, что хакеры ищут пути использования этих уязвимостей. Компания Bad Packets провела анализ, который показал, что Travelex исправила серверы только в начале ноября 2019 года.

Откуда появился Sodinokibi

В апреле 2019 года эксперты Cybereason Nocturnus выявили и проанализировали труднообнаружимую программу-вымогатель нового поколения под названием Sodinokibi. Эта программа зашифровывает все важные корпоративные файлы, кроме тех, которые указаны в конфигурационных файлах. Поврежденную систему можно использовать, но все ключевые сведения компании становятся недоступны.

Sodinokibi, скорее всего, распространяется теми же самыми злоумышленниками, которые были известны атаками вымогателей из семейства GandCrab (оно, судя по сообщениям на подпольных форумах, больше не будет развиваться).

Принцип действия вируса Sodinokibi

Попав в систему, вредоносное ПО старается запустить себя с расширенными правами, чтобы получить доступ ко всем файлам и ресурсам ПК без ограничения. 

Киберпреступники прибегают к разным приемам, чтобы проникнуть в сети своих жертв и установить Sodinokibi. Нередко они используют подключения через протокол Microsoft Remote Desktop Protocol (RDP), который обеспечивает инженерам удаленный доступ к компьютерам с Windows. 

Атакующие подбирают слабые пароли или, возможно, эксплуатируют уязвимость BlueKeep (CVE-2019-0708). Также зафиксированы случаи использования уязвимости в Oracle WebLogic (CVE-2019-2725) для получения доступа к системе.

Перед тем как зашифровать файлы пользователя, Sodinokibi проводит поиск по всем файловым системам, включая сетевые папки, чтобы обнаружить каталоги с названием backup, и безвозвратно удаляет их. 

Интересно, что перед удалением самого каталога зловред сначала заменяет контент во всех таких папках случайным набором байтов, чтобы сделать восстановление невозможным в принципе. 

На какие вирусы похож Sodinokibi?

Эта хакерская атака не уникальна. Достаточно вспомнить атаки WannaCry, SimpleLocker и TeslaCrypt, произошедшие за последние пять лет. Программы-вымогатели сложно обнаружить, и они постоянно подстраиваются под средства защиты систем.

По данным исследований, количество атак программ вымогателей-шифровальщиков (Ransomware) в прошлом году выросло до 200 миллионов, а Cybersecurity Ventures предсказывает, что к 2021 году бизнес будет подвергаться атакам каждые 11 секунд. 

Согласно анализу уязвимости бизнеса кибератакам от Proofpoint, самые атакуемые подразделения компаний — R&D, маркетинг и PR, отделы производства и продаж. 

Как бороться с Sodinokibi 

Как показал пример Travelex, ретроспективная реакция на атаку Sodinokibi и подобных программ редко бывает эффективна. Для этой программы-вымогателя нет бесплатного способа расшифровать данные, и единственная возможность восстановить данные — использовать сервис дешифрования, предоставленный злоумышленником. 

Специалисты в области киберзащиты считают, что для действенной борьбы с программами-вымогателями нужно проактивное решение на базе искусственного интеллекта. Это эффективно: к примеру, нашей компании в прошлом году удалось предотвратить более 400 тысяч атак программ-вымогателей, используя этот подход.

Специальные решения киберзащиты объединяют защиту данных и передовые инструменты кибербезопасности и с помощью ИИ отличают потенциально опасную активность от нормальных действий и прерывают подозрительные операции сразу в режиме реального времени до причинения ущерба.

Фото в тексте и на обложке: Unsplash

Источник: rb.ru

Добавить комментарий