Wenn wir zurückblicken, stellen sich Hauptmerkmale von Ransomware heraus: Sie erfindet sich immer wieder neu und bleibt in Zeit und Wirksamkeit bestehen. Die Art von Angriff hat sich seit ihrem ersten Auftreten stark weiterentwickelt und heute gibt es viele verschiedene und unterschiedliche Familien.

Dies erfordert auch größere Anstrengungen seitens der Cyberkriminellen, da sie fortschrittlichere und komplexere Techniken anwenden müssen. Das bedeutet auch eine Zunahme der Raffinesse, der Ausbreitung und des Fortbestands der Bedrohung. Sodinokibi, alias REvil, ist ein solches Beispiel, da diese Schadsoftware in erstaunlich kurzer Zeit Geräte auf der ganzen Welt infiziert hat.

„Report downloaden“

Sodinokibi und Doxing

Ende 2019 wurde der Beginn eines Trends bei Ransomware-Attacken beobachtet, der heute zur gängigen Praxis geworden ist: Die Betreiber diverser Ransomware-Familien drohen nicht nur mit Dateidiebstahl, sondern auch mit der Preisgabe vertraulicher oder kompromittierender Informationen.

Die Technik wurde zuerst von den Entwicklern der Maze-Ransomware eingesetzt. Schon einen Monat später wandten die Betreiber anderer Ransomware-Familien – zweifellos auf Grund der Wirksamkeit – diese Strategie in diversen Fällen an, in denen die Opfer zögerten, für die Wiederbeschaffung verschlüsselter Dateien zu zahlen. So beispielsweise bei Lösegeldforderungen im Zusammenhang mit Sodinokibi, DoppelPaymer, RobinHood und Nemty.

Hauptmerkmale

Im Fall von Sodinokibi (alias REvil) ist ein bemerkenswertes Merkmal die Fähigkeit, sich der Erkennung durch Antivirensysteme zu entziehen. Wir haben auch festgestellt, wie diese Ransomware eine Schwachstelle in Oracle WebLogic-Servern ausnutzt. Obwohl dies bei Sodinokibi, wie in vielen anderen Ramsonware-Familien, ein herausragendes Merkmal ist, wird es als RaaS (Ransomware as a Service) betrieben. Das bedeutet, dass nicht nur direkt durch Erpressung Geld verdient wird, sondern auch durch den Verkauf von Kits, die es Angreifern ermöglichen, ihre eigene Ransomware zu erstellen und zu verteilen.

Diese Eigenschaften machten Sodinokibi im letzten Quartal des vergangenen Jahres zur lukrativsten Ransomware, obwohl sie bereits zu Beginn des Jahres entdeckt worden war. Sie generierte fast acht Prozent mehr Einnahmen als die Ryuk-Ransomware.

Infektions-Vektor

Der häufigste Weg für Sodinokibi, Geräte zu befallen, ist über eine bösartige E-Mail in einer Phishing-Kampagne. Die E-Mail enthält einen Link, der die Empfänger auffordert, eine Zip-Datei herunterzuladen. Angreifer verbreiten Malware auf diese Weise, da es so leichter ist, das Opfer zu erreichen. Außerdem ist es für die Malware in einer Zip-Datei einfacher, Antiviren-Schutzsysteme zu umgehen und sich somit schneller zu verbreiten.

Die Zip-Datei enthält normalerweise eine verschleierte JavaScript-Datei, wie die, die wir im Report analysiert haben.

Verbreitung

 

 

Die geographische Verbreitung von Sodinokibi war vielfältig: In diesem Jahr wurden Vorfälle in zahlreichen Ländern der Welt registriert. Dennoch haben sich die Angriffe weitgehend auf Europa, die USA und Indien konzentriert.

 

 

Erweiterte Cyber-Sicherheit zur Bekämpfung von Ransomware

Wir haben miterlebt, wie Ransomware-Angriffe nicht mehr auf möglichst viele Benutzer abzielen, sondern sich auf bestimmte Opfer fokussieren, um den finanziellen Ertrag zu verbessern. Es ist wichtig, diesen neuen Cyberkriminalitätstaktiken nicht zu erliegen und das Lösegeld nicht zu zahlen, da es ohnehin keine Garantie dafür gibt, die Informationen nach der Geldübergabe entschlüsseln und zurückholen zu können. Es ist auch nicht sicher, dass kompromittierende Informationen nicht veröffentlicht oder für andere böswillige Zwecke verwendet werden.

Um zu verhindern, dass sich Ihr Unternehmen mit solchen Situationen auseinandersetzen muss, gibt es fortschrittliche IT-Sicherheitslösungen wie Panda Adaptive Defense 360 mit fortschrittlichen EDR-Fähigkeiten, Prozessüberwachung in allen Netzwerk-Endpunkten und einem Service zur Klassifizierung von 100 Prozent dieser Prozesse. Die Wahrheit ist, dass Ransomware-Attacken eine sehr reale Bedrohung darstellen, der man nur schwer entgegentreten kann, wenn man nicht über den richtigen Schutz verfügt oder nicht die richtigen Richtlinien befolgt.

Seien Sie darauf vorbereitet und schützen Sie Ihre Systeme mit „Panda Adaptive Defense 360“. Die Lösung bietet dank des Zero Trust-Modells ein höheres Maß an Transparenz und Kontrolle, um die Prävention, Erkennung und Reaktion auf jede Bedrohung, einschließlich Ransomware wie Sodinokibi, zu verbessern.

Erfahren Sie mehr über die technischen Details von Sodinokibi in unserem PandaLabs-Bericht über die Ransomware: