转自Bleeping Computer,作者 Ionut Ilascu
在勒索软件领域相对较新的Sodinokibi,已经为其管理人员和附属机构带来了可观的利润,一些受害者支付了高达24万美元,而网络感染平均净赚15万美元。
当你看到恶意软件最近的活动时,这些数字并不令人惊讶。8月16日,Sodinokibi袭击了德克萨斯州的22个地方政府,要求共250万美元的赎金。它破坏了多个msp(托管服务提供商)向客户传播恶意软件的行为。
最近的受害者是另一个MSP,它为牙科诊所提供数据备份服务。在这个案件中,据称每名客户的赎金为5 000美元;数百人受到影响。
自今年4月被发现以来,Sodinokibi(又名REvil)已经变得多产,并迅速在勒索软件行业和安全研究领域的网络罪犯中赢得了声誉。
5月中旬,一个名为UNKN的Sodinokibi广告客户在地下论坛上存入了超过10万美元,以表明他们是认真的。
这种新型文件加密恶意软件的广告从7月初开始在至少两个论坛上出现。UNKN表示,他们希望扩大活动范围,这是一家私人企业,“座位有限”,可供有经验的个人使用。
恶意软件研究人员达米安(Damian)向BleepingComputer提供的声明截图显示,UNKN将恶意软件描述为“私人勒索软件”,灵活程度足以适应RaaS的商业模式。
UNKN最初向关联公司提供了60%的付款,在前三笔交易后增加了10%。这位演员还明确表示,作为这个私人项目的一部分,他们不会与说英语的子公司合作。
该勒索软件的名称并未在论坛帖子中披露,但研究人员告诉我们,他看到了该恶意软件管理面板的截图,显示的机器人ID与Sodinokibi看起来一样。
最近,就有一名受害者支付了27.7枚比特币,交易时兑换成超过22万美元。
达米安的另一项抓捕行动表明,这个勒索软件项目非常有利可图,一些受害者只需支付4个比特币(约合4000美元),而其他人则在转换时支付26个比特币,约合24万美元。
对于那些可以感染整个网络的附属机构,REvil/Sodinokibi开发人员允许受害者为整个受感染的计算机购买解密工具。根据BleepingComputer分享的论坛帖子,这些网络范围的解密器平均成本为15万美元。
随着收入的涌入,其他恶意软件经销商正试图进入该程序,但UNKN昨日表示,目前没有子公司的空缺。
当他们开始做广告的时候,威胁行为者已经得到了地下勒索软件社区中受人尊敬的成员的支持。
高级情报(AdvIntel)安全研究主管Yelisey Boguslavskiy告诉BleepingComputer,UNKN在7月4日的一个网络犯罪论坛上注册了一个账户,很明显,他们一直活跃在这个社区之外。
两名专门从事勒索软件攻击的知名社区成员支持UNKN,并透露他们已经加入了该联盟项目,表明他们已经知道自己在与谁打交道。
论坛成员Lalartu透露,他们是在GandCrab项目破产后开始与Sodinokibi合作的。他们赞扬新RaaS披露的这一举措对盈利产生了重大影响,“不仅增长,还突破了天花板,进一步增长。”
今年6月,Sodinokibi上开始了一场讨论,大多数论坛成员对新的勒索软件及其合法性表示怀疑。UNKN提交联合报价后,该线程很快被删除。
Sodinokibi是在研究人员发现它通过利用一个关键的反序列化漏洞部署在Oracle WebLogic服务器上时被发现的。
在感染Sodinokibi病毒的同一系统上,网络罪犯在几小时后也安装了GandCrab。四月底,GandCrab的管理人员宣布他们将在20天内关闭商店。他们遵守了诺言。
在GandCrab ransomwareas -as-a-service (RaaS)关闭后不久,Sodinokibi勒索软件的运营商就开始寻找合作伙伴来发布他们的软件。
地下对新产品的反应表明,这可能与现已关闭的GandCrab行动的管理人员或附属机构有关。
一些恶意软件分析人士指出,这两种勒索软件在代码级别上有相似之处,尽管两者之间存在很多差异。
然而,一个相似之处是,这两个恶意软件家族的管理员都不会在独联体地区开展业务。这包括俄罗斯、乌克兰、摩尔多瓦、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、亚美尼亚、塔吉克斯坦、土库曼斯坦和乌兹别克斯坦。
随着恶意软件的迅速升级,这些面包屑似乎暗示了GandCrab团队或其附属机构的参与。他们已经在私人论坛上建立了联系,这让他们能够迅速推广Sodinokibi,并对自己的伴侣有选择性。
目前还没有明确的、不可否认的证据表明,Sodinokibi是由管理GandCrab的同一个人管理的,但他们显然知道勒索软件的把戏,并热衷于赚钱。
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾:从现在开始,我的每一句话都是认真的。
如果,你被攻击了,别打110、119、120,来这里看着就行。
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。
领取专属 10元无门槛券
私享最新 技术干货