Преступники побуждают жертв открыть электронные письма с вредоносным файлом.
Злоумышленники распространяют по электронной почте программу-вымогатель Sodinokibi (также известный как REvil и Sodin), выдавая себя за сотрудников немецкого Федерального управления по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik). Используя в качестве темы сообщения «Предупреждение о скомпрометированных пользовательских данных» («Warnmeldung kompromittierter Benutzerdaten»), злоумышленники побуждают своих жертв открыть вложение с вредоносным PDF документом, говорится в сообщении BSI.
После открытия документа на системе запускается hta-файл с помощью легитимной утилиты mshta.exe, далее на систему загружается вымогательское ПО Sodinokibi.
Инфицировав систему, вредонос удаляет теневые копии файлов и отключает восстановление при загрузке Windows. Затем Sodinokibi шифрует файлы на системе и за их восстановление требует $2500 в биткойнах, по прошествии указанного срока сумма возрастает до $5000.
Ранее стало известно об атаках, в рамках которых операторы Sodinokibi взламывали провайдеров управляемых услуг через Webroot SecureAnywhere и заражали системы их клиентов вымогательским ПО. В июне компания Oracle исправила уязвимость десериализации в WebLogic Server, используемую ранее для распространения вымогательского ПО Sodinokibi и майнеров криптовалют.
