Программа-вымогатель Sodinokibi (REvil)
Sodinokibi (известная также как REvil или Ransomware Evil), впервые обнаруженная в 2019 году, была разработана по принципу частная «программа-вымогатель как услуга» (RaaS) и базируется, предположительно, в России. Широкий охват и эффективность Sodinokibi были замечены практически мгновенно, поскольку она стала четвертой среди самых распространенных программ-вымогателей за первые четыре месяца своего существования.
Способ распространения RaaS означает, что к исходному коду программы-вымогателя имело доступ много людей, генерируя множество вариантов и атаки с нарастающей агрессивностью с разных направлений, включая спам и серверные атаки. В результате получается особо опасный тип программы-вымогателя.
В этой статье мы рассмотрим происхождение Sodinokibi, принцип ее работы и действия, которые можно предпринять для защиты сети от программы-вымогателя.
Попробуйте Avast Business Hub БЕСПЛАТНО в течение 30 дней
Любой бизнес заслуживает киберзащиты высшего класса. Загрузите Avast Business Hub и опробуйте бесплатно на протяжении 30 дней без каких-либо рисков.
Что представляет собой программа-вымогатель Sodinokibi/REvil?
Sodinokibi предоставляется в формате программа-вымогатель как услуга (RaaS), то есть для ее распространения используются соучастники, которые делят с разработчиками деньги, полученные в качестве выкупа. Она имеет общие черты с известным кодом от пресловутых хакерских группировок DarkSide и GandCrab, которые, как предполагается, стоят за 40 % заражений программами-вымогателями во всем мире.
Этот вирус обычно распространяется с помощью инструментов фишинга, обманом заставляющих пользователей открывать вредоносные файлы, замаскированные под вложения в электронные письма, документы и таблицы.
Главной целью вредоносных программ такого типа являются атаки программ-вымогателей на большие организации и публичных лиц с намерением получить большой выкуп и опубликовать частную информацию в личном блоге группировки. Sodinokibi применялась киберпреступниками в приведенных ниже атаках.
- Похищение в мае 2020 года около 1 ТБ данных из работающей со знаменитостями юридической фирмы Grubman Shire Meiselas & Sacks, среди клиентов которой Мадонна и Леди Гага.
- Попытка в апреле 2021 года вымогать выкуп у компании Apple, используя украденные схемы продукции.
- Атака на технологического подрядчика из США HX5 в июле 2021 года. Из-за нее президент США Джо Байден оказал давление на Владимира Путина, прежде чем принять меры в отношении группировки, и на данный момент это самая громкая атака Sodinokibi.
Кто стоит за программой-вымогателем Sodinokibi?
Происхождение создателей программы-вымогателя сложно определить. Поначалу атаки, казалось, были нацелены на Азию, однако скоро появились и в Европе. Единственным регионом, который не подвергся атакам, была Россия, что, предположительно, указывало на страну происхождения.
Операция с участием 17 стран привела к аресту пяти подозреваемых, связанных с Sodinokibi/REvil. В январе 2022 года российские власти сообщили, что группировка ликвидирована.
Хоть это и хорошие новости, они не означают, что угроза исчезла. Из-за способа распространения программы-вымогателя и связей создателя с другими группами код Sodinokibi все еще может использоваться либо адаптироваться под новые направления атак.
Как работает программа-вымогатель Sodinokibi?
Одна из главных сложностей, связанных с программой-вымогателем Sodinokibi, — ее обнаружение. Большая часть ее кода скрыта либо зашифрована, что усложняет обнаружение сканерами антивируса. Это подчеркивает важность создания многоуровневой единой стратегии защиты, сочетающей обучение, лучшие методы и ПО для как можно более раннего выявления потенциальных угроз.
В этом разделе мы подробно рассмотрим процесс атаки, чтобы помочь пользователям лучше понять принцип работы программы-вымогателя.
Подробнее о других резонансных типах программ-вымогателей читайте в наших руководствах по угрозам Phobos и WannaCry.
1. Инициализация программы-вымогателя
Атака начинается с проверки того, что программа является единственным процессом, запущенным на конечной точке. Затем выполняются эксплойты для определения уязвимостей, появившихся из-за отсутствия исправлений системы безопасности. Следующий шаг — изменение разрешений на доступ, чтобы получить все права администратора. В итоге выполняется перезапуск в режиме администратора.
Затем сканируются идентификаторы языка системы. В коде содержится список исключений, определяющий страны по языку устройства, чтобы программа-вымогатель не атаковала конечные точки в странах восточной Европы. Эта информация помогла следователям выяснить, что хакерская группировка работала из России.
После этого удаляются файлы в системе резервного копирования Windows (теневые копии), а с помощью редактора политики загрузки отключаются режимы восстановления. Затем система сканируется на наличие папок с резервными копиями, которые удаляются и перезаписываются, чтобы сделать невозможным их восстановление.
2. Генерирование и обмен ключа
Ключи шифрования создаются парами — один открытый, а второй принадлежит злоумышленнику. Без обоих ключей практически невозможно восстановить украденные данные. Sodinokibi использует алгоритм генерирования и обмена ключа под названием протокол Диффи — Хеллмана на эллиптических кривых (ECDH).
3. Шифрование
Sodinokibi использует два типа шифрования:
- AES применяется для шифрования закрытого ключа и передачи данных между сетями;
- Salsa20 применяется при шифровании файлов пользователя.
Массив документов пользователя собирается из всех файлов, не помеченных как исключения, и шифруется алгоритмом Salsa20, в результате чего создается уникальный ключ для каждого файла. Зашифрованные файлы будет легко определить, поскольку программа-вымогатель добавляет к ним новое расширение.
После этого происходит подготовка данных к отправке на сервер злоумышленника.
4. Требования
После шифрования файла в той же папке создается записка с требованием выкупа. Эта процедура повторяется для каждой папки, содержащей зашифрованные файлы. Ее шаблон включен в программу-вымогатель Sodinokibi и автоматически дополняется идентификатором пользователя и другой связанной информацией, в частности ключом.
Дешифровка Sodinokibi
Записка с требованием выкупа содержит четкие инструкции для пользователя, как восстановить свои данные. Они включают установку браузера TOR, переход по уникальной ссылке и ввод ключа.
Именно на этой странице сообщаются подробности о выкупе. Пользователи должны заплатить, чтобы получить ПО для дешифровки, и сделать это нужно в определенный срок. Нарушение этого срока приводит к удвоению цены. Оплата требуется в биткоинах.
В сентябре 2021 года объявили, что организации, специализирующиеся на киберзащите, и правоохранительные органы США создали бесплатный универсальный ключ для дешифровки, который может вернуть файлы всем компаниям, пострадавшим до 13 июля 2021 года. Однако, чтобы в будущем защитить данные своей компании от атак, критически необходим инструмент для защиты от программ-вымогателей, поскольку нет гарантий, что ключ подойдет для данных, зашифрованных после этой даты.
Защита от атаки REvil
При такой меняющейся и опасной форме программы-вымогателя корпоративные пользователи должны обеспечить защиту своей сети и устройств от угрозы атаки Sodinokibi/REvil. Можно обозначить следующие ключевые шаги.
- Регулярное обновление систем. Уязвимости — распространенный путь для доступа к системам, поэтому необходимо устанавливать исправления и обновления как можно скорее после их выхода.
- Обучение персонала кибербезопасности. Человеческие ошибки — одна из основных причин утечек данных. Предотвратите их, обучив персонал на всех корпоративных уровнях. Тест по кибербезопасности и учебные материалы Avast Business помогут оценить базовые знания по теме и определить области, требующие дополнительного обучения.
- Резервное копирование данных. Как понятно из названия, программы-вымогатели нацелены на кражу данных и перепродажу их владельцам. Безопасное удаленное хранение резервных копий позволяет защитить самые важные данные и документы и сохранить к ним доступ, даже если случится наихудшее.
- Контроль доступа. Разрешения на доступ следует строго ограничивать кругом тех, кому он непосредственно нужен. Пересмотрите разрешения во всей компании, чтобы убедиться, что права администратора максимально ограничены, и предотвратить доступ к управлению сетью при взломе учетной записи пользователя.
- Внедрение лучших правил для безопасности. Еще один способ защитить данные компании — обеспечить внедрение лучших корпоративных правил для безопасности. Они должны включать использование сложных паролей, процедуру сообщения о подозрительной активности и соглашения по удаленной работе, чтобы обеспечивать обновление и защиту устройств. Кроме того, стоит установить ПО для защиты от программ-вымогателей и сканеры вредоносных программ на все конечные точки корпоративной сети, чтобы способствовать их обнаружению и удалению.
- Регулярные проверки и анализ уязвимостей. Следует регулярно проверять журналы событий, чтобы оперативно замечать и анализировать подозрительные действия, например высокую активность в нерабочее время.
- Наличие плана реагирования. Планирование на случай чрезвычайных происшествий — залог защиты бизнеса, и это правило также действует для цифрового мира. Периодически проводите тренировки, чтобы персонал знал, к кому обращаться в случае реальной атаки программы-вымогателя и что есть план обеспечения бесперебойной деятельности компании (BCP) для продолжения работы после атаки.
Защита от программы-вымогателя Sodinokibi
Возможно, участников группы, ответственной за программу-вымогатель Sodinokibi/REvil, арестовали в январе 2022 года, однако их вредоносная программа лишь одна из многих. Защитите свою компанию от широкого спектра атак с помощью Avast Business Hub — нашей интегрированной облачной платформы обеспечения безопасности для малого и среднего бизнеса.
© Gen Digital Inc., 2024.