Co je ransomware Sodinokibi (REvil)?
Ransomware Sodinokibi (též známý jako REvil neboli Ransomware Evil), poprvé identifikovaný v roce 2019, byl vyvinut jako soukromý ransomware jako služba (RaaS) a předpokládá se, že útočí z Ruska. Díky svému značnému dosahu a efektivitě se dokázal rozšířit prakticky okamžitě a během prvních čtyř měsíců se stal čtvrtým nejčastějším typem ransomwaru.
Šíření formou RaaS znamená, že k jeho kódu mělo přístup hodně lidí, takže vznikla celá řada jeho variant, jež postupně zesílily na agresivitě a začaly útočit z různých stran, například prostřednictvím spamu nebo serverových útoků. Proto je tento druh ransomwaru považován za obzvláště nebezpečný.
Tento článek pojednává o tom, odkud Sodinokibi pochází, jak funguje a jak před ním zabezpečit vaši síť.
Vyzkoušejte si Avast Business Hub ZDARMA na 30 dnů
Každá firma si zaslouží špičkové kybernetické zabezpečení. Stáhněte si Avast Business Hub a vyzkoušejte si ho na 30 dnů – nic přitom neriskujete.
Co je ransomware Sodinokibi/REvil?
Sodinokibi se poskytuje formou ransomwaru jako služby (RaaS), což znamená, že se na jeho šíření podílejí partneři, kteří si pak s vývojáři rozdělují peníze vydělané platbami výkupného. V jeho kódu lze najít podobnost s kódem nechvalně známých hackerských skupin DarkSide a GandCrab, jež údajně mohou stát až za 40 % ransomwarových infekcí po celém světě.
Tento virus se obvykle šíří formou phishingu, jenž se snaží podvodně přimět uživatele, aby otevřeli škodlivé soubory zamaskované jako e-mailové přílohy, dokumenty nebo tabulky.
Tento typ malwaru se zaměřuje na okázalé ransomwarové útoky vůči velkým organizacím a veřejně známým osobám s cílem získat velké výkupné a zveřejnit soukromé informace na blogu hackerské skupiny. Kybernetičtí zločinci pomocí ransomwaru Sodinokibi spáchali následující zločiny:
- Krádež asi 1 TB dat z právnické firmy Grubman Shire Meiselas & Sacks, která zastupuje celebrity, jako je Madonna či Lady Gaga, v květnu 2020.
- Pokus o vydírání společnosti Apple na základě ukradených schémat produktů v dubnu 2021.
- Útok na amerického technologického dodavatele HX5 v červenci 2021. Výsledkem byl nátlak amerického prezidenta Joea Bidena na Vladimira Putina před přijetím opatření proti této skupině a jedná se o doposud nejzávažnější útok Sodinokibi.
Kdo stojí za ransomwarem Sodinokibi?
Zjistit původ tvůrců tohoto ransomwaru nebylo jednoduché. Jeho útoky se zpočátku soustředily na Asii, ale záhy se objevily i v Evropě. Jedním z regionů, který jím napaden nebyl, je Rusko, takže se předpokládá, že pochází odtamtud.
Operace, do níž se zapojilo 17 zemí, skončila zatčením pěti podezřelých ve spojitosti s ransomwarem Sodinokibi/REvil. V lednu 2022 ruské úřady oznámily, že skupina stojící za tímto ransomwarem přestala existovat.
I když jde o pozitivní zprávu, neznamená to, že tato hrozba skončila. Kvůli způsobu, jakým se šíří, a spolupráci jeho tvůrců s jinými skupinami, může být kód Sodinokibi i nadále používán nebo upraven tak, aby mohl útočit novými způsoby.
Jak ransomware Sodinokibi funguje?
Na ransomwaru Sodinokibi je nejnáročnější jeho odhalení. Většina jeho kódu je zamaskována či zašifrována, takže pro antiviry je obtížné ho identifikovat. Proto je důležité zavést vícevrstvou holistickou strategii, která kombinuje školení, osvědčené postupy a software, který dokáže identifikovat potenciální hrozby co nejdříve.
Tato část se podrobně zabývá průběhem útoku a dozvíte se v ní, jak tento ransomware funguje.
Pokud se chcete dozvědět více o dalších známých typech ransomwaru, přečtěte si naše materiály k ransomwaru Phobos a WannaCry.
1. Inicializace ransomwaru
Útok začne tím, že ransomware zajistí, aby byl na cílovém koncovém zařízení jediným spuštěným procesem. Následně spustí exploity hledající zranitelnosti, jež nebyly doposud opraveny aktualizacemi zabezpečení. Jakmile skončí, změní svá přístupová oprávnění tak, aby získal úplná oprávnění správce. Pak se znovu spustí v režimu správce.
V systému jsou následně zjištěna ID jazyků. V kódu se nachází seznam výjimek obsahující země podle jazyka zařízení, takže tento ransomware neútočí na koncová zařízení ve východní Evropě. Tato informace pomohla vyšetřovatelům zjistit, že hackerská skupina útočila z Ruska.
Dále jsou odstraněny soubory zálohovacího systému Windows (stínové kopie) a pomocí editoru zásad spouštění jsou zakázány režimy obnovení. Následně jsou v systému vyhledány záložní složky, které jsou odstraněny a přepsány tak, aby je nebylo možné obnovit.
2. Vygenerování a výměna klíčů
Šifrovací klíče jsou vytvářeny ve dvojicích – jeden je veřejně dostupný a druhý je v rukou útočníka. Bez obou klíčů je obnovení ukradených dat prakticky nemožné. Sodinokibi používá algoritmus generování a výměny klíčů známý jako Diffieho-Hellmanův protokol s využitím eliptických křivek (ECDH).
3. Zašifrování
Sodinokibi používá dva typy šifrování:
- Pomocí šifrování AES zašifruje soukromý klíč a přenosy dat přes sítě.
- Pomocí šifrování Salsa20 zašifruje uživatelské soubory.
Uživatelské soubory jsou vybrány ze všech souborů, které nebyly označeny jako výjimka, a zašifrovány algoritmem Salsa20, přičemž pro každý soubor je vygenerován jedinečný klíč. Zašifrované soubory lze snadno poznat podle přípony, kterou jim ransomware přidal do názvu.
Následně proběhne příprava dat k přenosu na server útočníka.
4. Požadavky
Po zašifrování souboru je ve stejné složce vytvořen a umístěn vzkaz s žádostí o výkupné. Takto ransomware postupuje u každé složky obsahující zašifrované soubory. Ransomware Sodinokibi k tomu používá šablonu, do které automaticky doplňuje ID uživatele a další související informace včetně klíče.
Dešifrování ransomwaru Sodinokibi
Vzkaz s žádostí o výkupné obsahuje jasné pokyny, jak uživatelé mohou svá data obnovit. Musejí si nainstalovat prohlížeč TOR, navštívit jedinečný odkaz a zadat klíč.
Na dané stránce se zobrazí podrobnosti ohledně platby výkupného. Uživatelé musí do určitého termínu zaplatit, aby si mohli stáhnout dešifrovací software. Když to nestihnou, výkupné se jim zdvojnásobí. Platba je požadována v bitcoinech.
Kyberbezpečnostní firmy a americké státní úřady v září 2021 oznámily, že vytvořily bezplatný univerzální dešifrovací klíč, díky němuž mohou všechny firmy napadené před 13. červencem 2021 získat své soubory zpět. Pokud ale chcete chránit svá firemní data před dalšími útoky, neobejdete se bez nástroje na ochranu před ransomwarem, protože tento klíč nemusí u souborů zašifrovaných po tomto datu fungovat.
Ochrana před útokem ransomwaru REvil
Sodinokibi/REvil představuje proměnlivou a nebezpečnou formu ransomwaru, takže by firemní uživatelé měli podniknout kroky, které jsou nezbytné k zabezpečení jejich sítě a zařízení. Mezi tyto nezbytné kroky patří:
- Pravidelné aktualizace systémů. Zranitelnosti představují častou vstupní bránu do systémů, a proto je nezbytné instalovat všechny opravy a aktualizace hned po jejich vydání.
- Školení zaměstnanců o kybernetickém zabezpečení. Jednou z hlavních příčin úniků dat jsou lidské chyby. Předejít jim můžete školením zaměstnanců na všech úrovních firmy. Kvíz a studijní materiály ke kybernetickému zabezpečení od Avast Business vám pomohou vyhodnotit základní znalosti této problematiky a identifikovat oblasti vyžadující další školení.
- Zálohování dat. Jak anglické slovo „ransom“ (výkupné) napovídá, cílem útoků ransomwaru je ukrást data a pak je prodat zpět jejich majitelům. Uchovávání zabezpečených záloh mimo firmu znamená, že důležitá data a dokumenty zůstanou v bezpečí a lze je získat zpět, když dojde k nejhoršímu.
- Řízení přístupu. Přístupová oprávnění by měla být striktně omezena jen na osoby, které potřebují přímý přístup. Auditem přístupových oprávnění v celé firmě zajistěte, aby se oprávnění správce používala co nejméně, čímž omezíte přístup k řízení sítě pro případ, že by byl nějaký uživatelský účet napaden.
- Osvojení osvědčených bezpečnostních postupů. Firemní data můžete také ochránit zavedením osvědčených bezpečnostních postupů. Jde například o požadování silných hesel, postup nahlašování podezřelých aktivit nebo smlouvy ohledně práce na dálku, které vyžadují, aby zařízení byla aktualizovaná a zabezpečená. Rovněž je vhodné na všechna koncová zařízení připojená k firemní síti nasadit software na ochranu před ransomwarem a nástroje na odhalování malwaru.
- Pravidelné inspekce a posuzování zranitelností. Měli byste pravidelně kontrolovat protokoly událostí, abyste byli schopni rychle odhalit a přezkoumat nezvyklou aktivitu, například vysoké vytížení mimo pracovní dobu.
- Vytvoření plánu reakce. Plány pro případ závažných událostí jsou klíčové nejen pro ochranu firmy, ale i jejích digitálních technologií. Pravidelně pořádejte cvičení se simulacemi útoků, aby zaměstnanci věděli, koho kontaktovat, když se setkají s útokem ransomwaru. A v neposlední řadě je třeba zavést plán provozní kontinuity (BCP), díky němuž dokáže firma po útoku dále fungovat.
Ochraňte se před ransomwarem Sodinokibi
Členové skupiny stojící za ransomwarem Sodinokibi/REvil byli sice v lednu 2022 zadrženi, ale jejich malware je jen kapkou v širém moři. Ochraňte svou firmu před širokou škálou útoků pomocí Avast Business Hubu, naší integrované cloudové bezpečnostní platformy pro malé a střední firmy.
© 2024 Gen Digital Inc.