Исследователи проанализировали вымогатель Sodinokibi

0

Некоторые жертвы вредоноса заплатили выкуп в размере $240 тыс., а в среднем эта сумма составляет $150 тыс.

Будучи относительно новым среди представителей вымогательского ПО, Sodinokibi (также известный как REvil) уже принес внушительную прибыль злоумышленникам. Некоторые жертвы вредоноса заплатили выкуп в размере $240 тыс. Последними жертвами Sodinokibi стали The Digital Dental Record и PerCSoft – американские компании-разработчики ПО для хранения электронных медицинских карт DDS Safe.

С момента своего обнаружения в апреле нынешнего года Sodinokibi стал крайне эффективным и быстро завоевал репутацию среди киберпреступников-вымогателей, сообщает издание BleepingComputer. Объявления о новой вредоносной программе для шифрования файлов появились в начале июля как минимум на двух форумах. Пользователь UNKN описал вредонос как «частное вымогательское ПО», достаточно гибкое для адаптации к бизнес-модели “вымогательское ПО-как-услуга” (Ransomware-as-a-Service, RaaS). UNKN предложил партнерам 60% от платежей в начале и еще 10% после первых трех транзакций. Злоумышленник отказался сотрудничать с англоязычными филиалами в рамках этой частной программы.

В случае с партнерами, которые могут заразить всю сеть, разработчики Sodinokibi предлагают инструмент для дешифрования всех зараженных компьютеров. Согласно сообщению на форуме, средняя стоимость этих сетевых дешифровщиков составляет $150 тыс.

По словам одного из участников форума, он начал сотрудничество с разработчиками Sodinokibi после того, как авторы вымогательского ПО GandCrab ушли с рынка. Он хвалит новую RaaS за оказание значительного влияния на прибыль, которая «сильно выросла, побила рекорды и продолжает расти».

Ранее Sodinokibi атаковал серверы Oracle WebLogic с помощью критической уязвимости десериализации. На тех же системах, зараженных Sodinokibi, киберпреступники также установили GandCrab несколько часов спустя. Операторы Sodinokibi начали искать филиалы для распространения своего программного обеспечения вскоре после того, как сервис GandCrab закрылся. По мнению исследователей, реакция на подпольных форумах на новый продукт может указывать на связь между администраторами и партнерами ныне несуществующей кампании GandCrab.