Sodinokibi, также называемый Revil, - это опасная вредоносная программа типа ransomware. Помимо прочих инструментов, она использует передовые методы шифрования и может работать без подключения к управляющим серверам. Sodinokibi входит в число самых сложных Ransomware в мире.
Что такое Sodinokibi ransomware?
Sodinokibi, иногда также называемый REvil, является вредоносным ПО типа ransomware - он шифрует файлы на зараженных машинах и требует от жертв выкуп за восстановление файлов. Sodinokibi распространяется по бизнес-модели Ransomware-as-a-Service, позволяющей любому, кто может заплатить, стать оператором вируса.
Sodinokibi - очень сложная программа-вымогатель, судя по всему, разработанная группой с большим опытом работы в этой области. Она имеет много общего с другой вредоносной программой под названием GandCrab - настолько много, что считается, что она создана одной и той же группой киберпреступников. Однако Sodinokibi можно считать значительно усовершенствованной версией по сравнению с предыдущими.
Sodinokibi ransomware способен шифровать файлы с помощью кривой 25519/Salsa20 и шифровать ключи с помощью кривой 25519/AES-256-CTR. Вредоносная программа использует 2 открытых ключа для шифрования закрытого ключа пользователя. Кроме того, этот вирус использует обфускацию командно-контрольного сервера и может работать с использованием алгоритма асимметричного планирования ключей, что позволяет вредоносной программе функционировать без подключения к С2.
Общее описание Sodinokibi
Sodinokibi впервые попал в поле зрения исследователей кибербезопасности в апреле 2019 года, когда вредоносное ПО было представлено в кампании, эксплуатирующей уязвимость Oracle WebLogic Server.
Кампания началась незадолго до того, как другая похожая вредоносная программа под названием GandCrab была официально закрыта навсегда. Некоторые исследователи считают, что Sodinokibi является "духовным наследником" этого вредоносного ПО, в то время как другие поддерживают теорию о том, что на самом деле это следующее поколение того же вируса. Некоторые факты указывают на правильность этой теории.
Среди таких доказательств - большое сходство в коде обеих вредоносных программ и тот факт, что на ранних стадиях жизненного цикла Sodinokibi преступники в качестве меры предосторожности устанавливали GandCrab после запуска Sodinokibi на всех зараженных машинах, вероятно, потому, что Sodinokibi еще не был тщательно протестирован в работе.
Еще одним доказательством в пользу этой теории является атака, произошедшая в феврале 2019 года, когда GandCrab использовался для заражения жертв путем компрометации Managed Service Providers. Через некоторое время после этого произошла такая же атака, в которой участвовало вымогательское ПО Sodinokibi.
Кроме того, нельзя игнорировать тот факт, что вредоносная программа Sodinokibi стала популярной в тот момент, когда ее предшественник начал прекращать свою деятельность, и было бы странно считать это совпадением. Кроме того, обе вредоносные программы используют очень похожие методы распространения - то, что мы рассмотрим далее в статье.
Наконец, есть мнение, что авторы GandCrab начали "чувствовать жар" и, опасаясь, что их деятельность может быть раскрыта, решили остаться незамеченными, прекратив продажи в пользу более продвинутой вредоносной программы, которая может быть продана частным лицам.
Конечно, ни один из этих пунктов не является убедительным доказательством, и мы можем только предполагать, что оба вируса являются результатом работы одних и тех же людей.
Давайте поговорим о поведении Sodinokibi ransomware.
В начале процесса выполнения вредоносная программа генерирует мьютекс с жестко заданным именем. Затем он расшифровывает встроенную конфигурацию. На этом этапе Sodinokibi пытается получить системные привилегии, эксплуатируя CVE-2018-8453. В некоторых случаях этот шаг может быть пропущен в конфигурации или не увенчаться успехом. Затем он пытается получить привилегии, запускаясь от имени администратора.
После этапа повышения привилегий программа-вымогатель собирает основные системные и пользовательские данные. Если она обнаружит, что пользовательский интерфейс или раскладка клавиатуры настроены на один из запрограммированных языков, выполнение будет прервано. Многие из этих языков происходят из стран постсоветского пространства, что позволяет предположить, что авторы вредоносной программы также являются выходцами из бывшего СССР.
Если на целевом ПК отсутствуют указанные языки UX или раскладки клавиатуры, вирус завершает процессы по значению PRC и переходит к стиранию теневых копий. В этот момент начинается процесс шифрования данных. Программа-вымогатель шифрует все пользовательские файлы, если в конфигурации не найдены исключения. Именно здесь злоумышленник может настроить свою кампанию. Затем ко всем зашифрованным документам добавляется расширение, а в каталоги помещается текст README. Обои меняются на сообщение с требованием выкупа.
Злоумышленники могут настраивать содержание сообщения о выкупе и файла README в конфигурационном файле, что, опять же, обеспечивает вредоносной программе гибкость, которая позволяет ей работать как ransomware-as-a-service, поскольку разные злоумышленники могут требовать выкуп на различные суммы и предоставлять жертвам пользовательские инструкции.
Процесс выполнения Sodinokibi
Sodinokibi не будет осуществлять вредоносную деятельность на системах, где языки пользовательского интерфейса и клавиатуры установлены на определенное значение, например, русский, украинский и 18 других. Хотя Sodinokibi относится к "качественному" типу вредоносных программ, его исполнение и процесс заражения системы в целом довольно прост и похож на другие ransomware - он расшифровывает файлы, стирает теневые копии и размещает записки с выкупом в файловой системе. Дерево процессов также выглядит не очень интересно, поскольку все основные действия обеспечиваются одним исполняемым файлом. Для всех зараженных файлов программа-вымогатель меняет расширение на generated. Добавленное расширение совпадает с идентификатором, который является уникальным и составляется путем объединения хэша значения, выдаваемого инструкцией CPUID, и серийного номера тома. Следует отметить, что Sodinokibi также попытается зашифровать файлы на сетевых ресурсах. После завершения процесса расшифровки ransomware устанавливает фоновые обои с сообщением о выкупе.
Интересно, что авторы Sodinokibi создали качественный веб-сайт, доступный на домене decryptor.top, где жертвы могут воспользоваться пробным дешифратором и получить возможность бесплатно расшифровать три изображения. Помимо функции расшифровки, этот сайт предоставляет такую информацию, как обратный отсчет времени (по истечении времени сумма выкупа будет установлена на уровне 5 000 долларов), инструкции о том, как купить биткоины и куда их отправить, а также информацию о процессе расшифровки. Если сайт decryptor.top недоступен, у жертв есть возможность посетить его клон .onion через веб-браузер Tor.
Как распространяется Sodinokibi?
Для проникновения на компьютеры своих жертв Sodinokibi использует довольно много векторов заражения, большинство из которых очень похожи на его предшественника - GandCrab.
Известно, что он использует уязвимость CVE-2019-2725 и применяет набор эксплойтов RIG. Кроме того, Sodinokibi также распространяется через скомпрометированных поставщиков управляемых услуг. И, как глазурь на торте, в дополнение к вышеупомянутым векторам атак, эта ransomware часто распространяется в кампаниях вредоносного спама.
Связь Sodinokibi с C&C
Интересно, что если многим ransomware для обмена ключами шифрования требуется соединение с C2, как, например, Maze, то Sodinokibi использует так называемый асимметричный алгоритм планирования ключей.
Он позволяет RAAS работать без подключения к сети и не давать пользователю никаких шансов получить данные, которые могли бы помочь в расшифровке файлов. Однако злоумышленники могут установить соединение с управляющим сервером, чтобы получить общие системные данные с зараженных машин, подправив конфигурационный файл.
Затем системные и пользовательские данные передаются на широкий список веб-доменов, многие из которых выглядят совершенно реальными и легальными - возможно, это взломанные сайты WordPress, многие из которых могут быть включены, чтобы скрыть настоящий веб-адрес C&C. В свою очередь, Sodinokibi может получать и читать ответ от сервера, но он не сохраняется и никак не используется в процессе работы.
Как предотвратить атаки Sodinokibi?
Хотя использование уязвимостей позволяет этой ransomware заражать машины без активных действий пользователя, базовые правила онлайн-гигиены все же могут значительно снизить вероятность "подхватить" этот вирус.
В частности, отказ от загрузки вложений в подозрительных письмах или письмах, пришедших от неизвестных отправителей, и отключение макросов в Microsoft Office полностью гарантирует, что человек не будет заражен Sodinokibi через вредоносную спам-рассылку.
Заключение
С момента своего появления в 2019 году тысячи компьютеров уже были заражены Sodinokibi, и эта вредоносная программа продолжает представлять постоянную опасность.
Заимствуя значительную часть функциональности у уже достаточно мощного GandCrab ransomware, Sodinokibi еще больше улучшает ее, превращаясь в настоящую мощь ransomware. К сожалению, факты свидетельствуют о том, что эта вредоносная программа разработана опытными киберпреступниками, которые знают, как создать и распространить вирус. Его доступность, благодаря бизнес-модели "вредоносное ПО как услуга", делает его реальной угрозой для предприятий и частных лиц по всему миру.