Ransomware is sterk geëvolueerd sinds zijn eerste verschijning. Vandaag de dag zijn er veel verschillende en uiteenlopende soorten ransomware in omloop op het web.

Cybercriminelen kunnen dus gebruik maken van geavanceerdere en complexere programma’s. De toename van de verfijning, betekend ook een toename van de verspreiding van de dreiging. Sodinokibi, a.k.a. REvil, is daar een voorbeeld van, deze malware heeft in een verrassend korte tijd apparaten over de hele wereld geïnfecteerd.

Sodinokibi en Doxing

Eind 2019 werd het begin van een trend in ransomware-aanvallen waargenomen, die vandaag de dag gemeengoed is geworden: de exploitanten van verschillende ransomware-soorten dreigden niet alleen met bestandsdiefstal, maar ook met het vrijgeven van vertrouwelijke of compromitterende informatie. Het zogenoemde Doxing.

Deze techniek werd voor het eerst gebruikt door de ontwikkelaars van Maze ransomware. Slechts een maand later gebruikten ook de exploitanten van andere ransomware-families dit drukmiddel in gevallen waarin de slachtoffers terughoudend waren om te betalen voor het herstel van gecodeerde bestanden. Dit is het geval bij Sodinokibi, DoppelPaymer, RobinHood en Nemty.

Belangrijkste kenmerken

In het geval van Sodinokibi (ook wel REvil genoemd) is een opmerkelijk kenmerk de mogelijkheid om detectie door antivirussystemen te omzeilen. We hebben ontdekt hoe deze ransomware gebruik maakt van een kwetsbaarheid in Oracle WebLogic servers. Hoewel dit een prominente functie is in Sodinokibi, zoals in veel andere Ramsonware-families, wordt het gerund als RaaS (Ransomware as a Service). Dit betekent dat geld niet alleen rechtstreeks wordt verdiend door chantage, maar ook door de verkoop van kits waarmee aanvallers hun eigen ransomware kunnen maken en distribueren.

Deze eigenschappen maakten van Sodinokibi het meest lucratieve ransomware in het laatste kwartaal van vorig jaar. Het genereerde bijna acht procent meer inkomsten dan ryuk ransomware.

Infectievector

De meest voorkomende manier voor Sodinokibi om apparaten te infecteren is via een kwaadaardige e-mail in een phishingcampagne. De e-mail bevat een link die de ontvangers vraagt om een zip-bestand te downloaden. Aanvallers verspreiden op deze manier malware omdat het makkelijker is om het slachtoffer te bereiken. Het is ook gemakkelijker voor de malware in een zip-bestand om antivirusbeschermingssystemen te omzeilen en zo sneller te verspreiden.

Het Zip-bestand bevat meestal een verborgen JavaScript-bestand, zoals het bestand dat we in het rapport hebben geanalyseerd.

Distributie

 

 

De geografische spreiding van Sodinokibi was divers: dit jaar werden er in tal van landen over de hele wereld incidenten geregistreerd. Toch zijn de aanslagen grotendeels geconcentreerd in Europa, de VS en India.

 

 

Verbeterde cyberbeveiliging ter bestrijding van ransomware

We hebben gezien dat ransomware-aanvallen niet langer gericht zijn op zoveel mogelijk gebruikers, maar zich juist richten op specifieke slachtoffers om het financiële rendement te verbeteren. Het is belangrijk om niet toe te geven aan deze nieuwe cybercriminaliteitstactieken en het losgeld niet te betalen. Er is namelijk geen garantie is dat de informatie kan worden ontcijferd en opgehaald nadat het geld is overhandigd. Er is ook geen garantie dat er geen compromitterende informatie zal worden gepubliceerd of wordt gebruikt voor andere malafide doeleinden.

Om te voorkomen dat uw bedrijf met dergelijke situaties te maken krijgt, zijn er geavanceerde IT-beveiligingsoplossingen benodigd.
Panda Adaptive Defense 360 is hier een voorbeeld van. Door gebruik te maken van geavanceerde EDR-mogelijkheden, procesbewaking in alle netwerkendpoints en een service die 100% van deze processen classificeert. Ransomware-aanvallen vormen een zeer reële bedreiging die moeilijk tegen te gaan is als u niet over de juiste bescherming beschikt of niet het juiste beleid volgt.

Wees voorbereid en bescherm uw systemen met Panda Adaptive Defense 360. Dankzij het Zero Trust-model biedt de oplossing een hoger niveau van zichtbaarheid en controle om de preventie, detectie en reactie op elke bedreiging, inclusief ransomware zoals Sodinokibi, te verbeteren.

Leer meer over de technische details van Sodinokibi in ons PandaLabs rapport over ransomware: