O que é o ransomware Sodinokibi (REvil)?
Identificado pela primeira vez em 2019, o Sodinokibi (também conhecido como REvil ou Ransomware Evil) foi desenvolvido como uma operação privada de ransomware como serviço (RaaS), acredita-se, com sede na Rússia. O amplo alcance e a eficiência do Sodinokibi se revelaram quase imediatamente, pois, em quatro meses, ele se tornou o quarto tipo de ransomware mais comum.
Com a abordagem de RaaS para distribuição, muitas pessoas tiveram acesso ao código do ransomware, resultando em uma grande quantidade de variantes e ataques cada vez mais agressivos de diferentes vetores, inclusive ataques de spam e servidor. Isso o torna uma forma de ransomware especialmente perigosa.
Este artigo analisa as origens do Sodinokibi, como ele opera e o que pode ser feito para proteger sua rede contra essa ameaça.
Teste o Avast Business Hub GRATUITAMENTE por 30 dias
Todas as empresas merecem a melhor segurança cibernética da categoria. Baixe o Avast Business Hub e teste por 30 dias, sem riscos.
O que é o ransomware Sodinokibi/REvil?
O Sodinokibi é fornecido como ransomware como serviço (RaaS), o que significa que afiliados atuam na distribuição do ransomware e dividem os pagamentos de resgate com os desenvolvedores. Ele compartilha semelhanças com o código conhecido dos notórios grupos de hackers DarkSide e GandCrab, que acreditamos ser os responsáveis por 40% das infecções de ransomware em todo o mundo.
O vírus é normalmente distribuído por meio de técnicas de phishing, que induzem os usuários a abrir arquivos maliciosos disfarçados de anexos de e-mail, documentos e planilhas.
O foco desse tipo de malware são grandes ataques de ransomware contra grandes organizações e figuras públicas, com a intenção de receber grandes pagamentos de resgate e publicar informações privadas no próprio blog do grupo. O Sodinokibi tem sido usado por cibercriminosos para:
- Roubar cerca de 1 TB de dados do famoso escritório de advocacia, Grubman Shire Meiselas & Sacks, que tem clientes como Madonna e Lady Gaga, em maio de 2020
- Tentar extorquir a Apple com esquemas de produtos roubados em abril de 2021.
- Atacar a empresa de tecnologia americana HX5 em julho de 2021. Isso resultou no presidente dos EUA, Joe Biden, pressionando Vladimir Putin antes de agir contra o grupo e é o ataque Sodinokibi de maior destaque até o momento.
Quem está por trás do ransomware Sodinokibi?
Identificar a origem dos criadores do ransomware tem sido difícil. Inicialmente, os ataques pareciam se concentrar na Ásia, mas logo surgiram na Europa. Uma região que não foi atacada foi a Rússia, sugerindo que essa é a origem do malware.
Uma operação que envolveu 17 países resultou na prisão de cinco suspeitos ligados ao Soninokibi/REvil. Em janeiro de 2022, as autoridades russas anunciaram que o grupo havia sido desmantelado.
Embora essa seja uma boa notícia, ela não significa que a ameaça acabou. Devido ao estilo de distribuição do ransomware e ao relacionamento do criador com outros grupos, o código Sodinokibi ainda pode ser usado ou modificado para novos vetores de ataque.
Como funciona o ransomware Sodinokibi?
Um dos principais desafios do ransomware Sodinokibi é detectá-lo. Grande parte do código é disfarçado ou criptografado, o que dificulta a identificação por antivírus. Isso destaca a importância de se estabelecer uma estratégia de segurança holística de várias camadas que combine treinamento, práticas recomendadas e software para identificar possíveis ameaças o mais cedo possível.
Esta seção examinará detalhadamente o processo de ataque para ajudar os usuários a entender melhor como o ransomware opera.
Para mais informações sobre outros tipos de ransomware de alto perfil, leia os guias para o Phobos e o WannaCry.
1. Inicialização do ransomware
Um ataque começa quando ele se torna o único processo em execução no endpoint atacado. Em seguida, ele executa explorações para identificar vulnerabilidades causadas pela falta de instalação de patches de segurança. Depois disso, o próximo passo é alterar as permissões de acesso para obter privilégios totais de administrador. Em seguida, ele será reiniciado no modo Admin.
O sistema então é escaneado em busca dos IDs de idioma. O código contém uma lista de isenções, que identifica os países pelo idioma do dispositivo, para que o ransomware não ataque endpoints em países do leste europeu. Essas informações ajudaram os investigadores a identificar que o grupo de hackers operava da Rússia.
Em seguida, os arquivos no sistema de backup do Windows (Shadow Copies) são excluídos e o editor de política de inicialização é usado para desabilitar os modos de recuperação. O sistema é então verificado em busca de pastas de backup, que são excluídas e substituídas para impossibilitar a recuperação.
2. Geração e troca de chave
As chaves de criptografia são criadas em pares: uma disponível publicamente e a outra mantida pelo invasor. Sem ambas, recuperar os dados roubados é quase impossível. O Sodinokibi usa um algoritmo de geração e troca de chaves conhecido como Diffie-Hellman de curva elíptica (ECDH).
3. Criptografia
O Sodinokibi usa dois tipos de criptografia:
- AES é usado para criptografar a chave privada e para transferência de dados entre redes.
- Salsa20 é usado para criptografar arquivos do usuário.
Os documentos do usuário são coletados de todos os arquivos que não foram marcados como isentos e criptografados com Salsa20, gerando uma chave única para cada arquivo. Ficará claro quais arquivos foram criptografados, pois o ransomware adiciona uma extensão a cada arquivo afetado.
A operação agora preparará os dados para envio ao servidor do invasor.
4. Exigências
Depois que um arquivo é criptografado, uma nota de resgate é criada e colocada na mesma pasta. Esse processo se repete para cada pasta que contém arquivos criptografados. Um modelo para isso está incluído no ransomware Sodinokibi e é atualizado automaticamente com o ID do usuário e outras informações relevantes, incluindo uma chave.
Descriptografia do Sodinokibi
A nota de resgate oferece instruções claras sobre como os usuários podem recuperar seus dados. Elas incluem instalar um navegador TOR, acessar um link exclusivo e inserir uma chave.
Nessa página, são apresentados os detalhes do resgate. Os usuários precisam pagar para baixar o software de descriptografia e recebem um prazo para isso. O não cumprimento do prazo resulta na duplicação do preço. O pagamento é exigido em Bitcoin.
Em setembro de 2021, foi anunciado que as empresas de segurança cibernética e a polícia nos EUA criaram uma chave de descriptografia universal gratuita que poderia devolver arquivos a qualquer empresa que fosse atacada antes de 13 de julho de 2021. No entanto, para proteger os dados da sua empresa contra novos ataques, uma ferramenta de proteção contra ransomware é crucial, pois não há garantia de que a chave funcione em criptografias que ocorrem após essa data.
Proteção contra um ataque REvil
Como uma forma tão variada e perigosa de ransomware, os usuários corporativos precisam garantir a proteção da rede e dos dispositivos contra a ameaça de um ataque de ransomware Sodinokibi/REvil. As etapas essenciais para isso incluem:
- Atualizações regulares do sistema. As vulnerabilidades são uma rota comum nos sistemas, tornando essencial que patches, correções e atualizações sejam aplicados assim que estiverem disponíveis.
- Fornecer treinamento de segurança cibernética para a equipe. O erro humano é uma das principais causas da violação de dados. Evite isso fornecendo treinamento para a equipe em todos os níveis da empresa. O recurso de teste e aprendizado de segurança cibernética do Avast Business ajudará a avaliar o conhecimento básico sobre o assunto e identificar onde é necessário mais treinamento.
- Backup de dados. Como o nome sugere, os ataques de ransomware são projetados para roubar dados e vendê-los de volta aos proprietários. Manter backups remotos seguros significa que dados e documentos vitais permanecerão seguros e acessíveis, mesmo que o pior aconteça.
- Controle de acesso. As permissões de acesso devem ser estritamente limitadas àqueles que precisam de acesso direto. Audite as permissões de toda a empresa para garantir que os privilégios de administrador sejam reduzidos ao mínimo, diminuindo o acesso aos controles de rede caso uma conta de usuário seja violada.
- Adotar práticas recomendadas de segurança. Outra maneira de proteger os dados corporativos é garantir que as práticas recomendadas de segurança sejam implementadas. Isso deve incluir um requisito de senhas fortes, um processo para sinalizar atividades suspeitas e acordos de trabalho remoto para garantir que os dispositivos sejam atualizados e seguros. Como parte disso, o software de proteção contra ransomware e os escaneadores de malware devem estar instalados em todos os endpoints conectados à rede comercial para ajudar a detectar e remover ransomwares.
- Conduzir inspeções e avaliação de vulnerabilidade regulares. Deve-se verificar regularmente se há atividades incomuns nos logs de eventos, como alta atividade fora do horário comercial, para que elas sejam detectadas e avaliadas rapidamente.
- Ter um plano de resposta. O planejamento de desastres é fundamental para a proteção dos negócios e isso se estende ao mundo digital. Realize regularmente exercícios de ataque, informe a equipe com quem entrar em contato no caso de um ataque de ransomware e implemente um plano de continuidade de negócios (BCP) para que a empresa possa continuar operando após um ataque
Proteja-se contra o ransomware Sodinokibi
Os membros do grupo por trás do ransomware Sodinokibi/REvil podem ter sido presos em janeiro de 2022, mas esse malware é apenas um entre muitos. Proteja sua empresa de uma grande variedade de ataques com o Avast Business Hub, nossa plataforma de segurança integrada e baseada em nuvem para pequenas e médias empresas.
© 2024 Gen Digital Inc.