Im Rahmen unserer Arbeit beim Entfernen und bei der Prävention von Ransomware führen wir detaillierte Untersuchungen zu den Methoden durch, die von Ransomware-Banden verwendet werden. Die Sodinokibi Ransomware-Bande, auch bekannt als REvil, ist ohne Zweifel eine der produktivsten und effektivsten Gruppen, die derzeit aktiv sind. Nach einigen Schätzungen könnte diese Hacker-Bande für bis zu 25% aller Ransomware-Angriffe, die im Jahr 2020 durchgeführt wurden, verantwortlich sein.
Die Bande ist für die Durchführung einer Reihe von hochkarätigen Angriffen bekannt und hat dadurch viel Aufmerksamkeit in den Medien erhalten. Sie machten Schlagzeilen mit erfolgreich durchgeführten Angriffen auf private Daten von Prominenten wie Madonna, Lebron James und sogar US-PräsidentDonald Trump.
Einer der Hauptgründe für den Erfolg der Sodinokibi Ransomware-Gang ist ihre Organisationsstruktur. Sie sind bekannt für ihre Pionierarbeit zum „Ransomware as a Service“ (RaaS) -Modell, bei dem ein spezialisiertes Team Software für Hacker lizenziert, im Austausch eines Prozentsatzes des Gewinns. Die Sodinokibi Organisation sucht aktiv nach talentierten Hackern. Der Rekrutierungsprozess ist dem der Vertriebsabteilung eines großen Softwareunternehmens nicht unähnlich. Lebensläufe von potenziellen Lizenz-Partnern werden geprüft und ein in Auftrag gegebener Angriff auf ein System muss erfolgreich durchgeführt werden.
Im Laufe unserer Recherchen sind wir auf eine der Rekrutierungsanzeigen von Sodinokibi gestoßen, die unten abgebildet ist. Sie enthält einige interessante Informationen über die Art und den Umfang der Operationen dieser kriminellen Bande.
Von Sodinokibi Affiliates verwendete Tools
Wir können aus der Rekrutierungstaktik von Sodinokibi einige Schlüsse ziehen. Ihre Anzeigen machen deutlich, dass Sodinikibi mit einem Mangel an qualifizierten Arbeitskräften konfrontiert ist. Dies bedeutet wohl, dass genügend rentable Angriffsziele vorhanden sind.
Einige der Tools, welche die Cyberbande verwendet, sind:
- Metasploit-Framework (MSF)
- Cobalt Strike (CS)
- Koadic
Es sind alles Penetrationstest-Suites, die verwendet werden, um Schwachstellen in einem System zu finden und Exploits zu injizieren. Aus diesem Grund ist es absolut empfehlenswert, dass Ihr IT Support regelmäßige Penetrationstests mit einer ähnlicher Software durchführt.
In den Rekrutierungsanzeigen von Sodinokibi werden auch Network Attached Storage (NAS) und Hyper Virtualization (Hyper-V) erwähnt. NAS wird häufig für die Verwaltung von Backups verwendet und es ist zunehmend Ziel von Ransomware-Angriffen. Backups sind vorrangige Verteidigungsmaßnahmen gegen Ransomware-Angriffe. Sie haben daher für Angreifer oft oberste Priorität.
Die Sicherheit Ihrer NAS kann erhöht werden, indem Sie einen eindeutigen und sicheren Benutzernamen wählen, ein Kennwort für Administratorrechte verwenden und SSL aktivieren. Eine weitere bewährte Methode ist die Verschlüsselung von Daten, die in Backups gespeichert sind. Sodinokibi droht Erpressungsopfern besonders oft, sensible Daten weiterzugeben oder zu veröffentlichen. Wenn die Daten, auf die Sodinokibi Zugriff erhalten hat, verschlüsselt sind, können sie kein zweites Lösegeld verlangen.
Sodinokibi Ransomware mit einem außergewöhnlich hohen Volumen
Nachdem Affiliates von Sodinokibi mit Erfolg in ein System eindringen konnten, kümmert sich das Sodinokibi-Team höchstpersönlich um die Kommunikation und die Lösegeldzahlungen. Die Affiliates sind ausschließlich für das Eindringen in Systeme verantwortlich.
Die Anzeige der Sodinokibi Gang bietet Anreize für die Teams, die für sie arbeiten; Wenn mehr als 1 Million US-Dollar Gewinn pro Woche erwirtschaftet werden konnte, erhält das für den Angriff verantwortliche Team einen Rabatt auf die von der Sodinokibi-Zentrale erhobene Gebühr. IBM schätzt, dass der Gesamtumsatz von Sodinokibi im Jahr 2020 mindestens 81 Millionen US-Dollar betrug, wobei die tatsächliche Zahl sehr wahrscheinlich viel höher sein wird.
Top-Talente anziehen
Sodinokibi genießt offensichtlich die Aufmerksamkeit der Medien und nennt große Nachrichtenagenturen ihre „Werbetreibenden“. Da immer mehr Hacker bei hochkarätigen Verbrechen Sodinokibi Software einsetzen, baut die Medienberichterstattung den Ruf der Bande auf und zieht talentiertere Hacker an.
Um diese „Talente“ weiter zu fördern, veranstaltet die Bande auch Wettbewerbe mit Preisen. Diese dienen dazu, begabte Personen für die Rekrutierung von Partnern zu gewinnen und die Fähigkeiten ihrer Affiliates zu verbessern.
Wenn es mit dieser Rekrutierungskampagne gelingt, erfahrenere Hacker zu finden, wird die Anzahl Sodinokibi-Angriffe im Jahr 2021 wahrscheinlich zunehmen. Es ist daher wichtig, die Arbeitsweise von Sodinokibi zu verstehen und entsprechend geeignete Gegenmaßnahmen zu planen.