Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Opisi virusa, 24.06.2020, 10:30 AM

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i softver PoS terminala i na taj način zaradila dodatni novac od napada.

Sodinokibi, poznat i kao REvil, pojavio se u aprilu 2019. godine i jedan od najopasnijih ransomwarea koji su trenutno aktuelni.

Ciljevi ransomwarea Sodinokibi bili su računari brojnih kompanija, a napadači su zahtevali otkupnine od nekoliko stotina hiljada do nekoliko miliona dolara u zamenu za ključeve za dešifrovanje.

U značajnom procentu slučajeva žrtva se oseća kao da nema drugog izbora nego da ispuni zahtev kako bi vratila šifrovane fajlove.

Ali istraživači kompanije Symantec nedavno su primetili novi element u napadima ovog ransomwarea - napadači skeniraju kompromitovane mreže tražeći PoS softver.

Moguće je da bi napadači mogli da iskoriste ove informacije kao sredstvo za zaradu dodatnog novca od napada, bilo da direktno koriste same podatke o plaćanju za upad u račune, ili da ih prodaju drugim kriminalcima na forumima sajber-podzemlja.

To ne bi bio prvi put da hakeri koji stoje iza Sodinokibija traže način da iskoriste podatke koje su kompromitovali u napadu. Oni su pretili da će objaviti informacije ukradene od žrtava ako ne plate otkupninu ali i da će ih prodati onima koji imaju najbolju ponudu.

“Traženje PoS softvera u sistemima žrtava je zanimljivo, jer se obično to ne dešava pored ciljanih napada ransomwarea”, kažu Symantecovi istraživači, dodajući da će biti zanimljivo videti da li je ovo bila samo oportunistička aktivnost u ovoj kampanji ili će to biti nova taktika koju su usvojile grupe koje distribuiraju ransomware.

Nova tehnika skeniranja PoS softvera primećena je u napadima na kompanije koje nude usluge, prehrambene proizvode i u zdravstvenom sektoru. Dve žrtve ovakvih napada istraživači opisuju kao velike kompanije koje napadači očigledno smatraju sposobnim da plate veliku otkupninu.

Zdravstvena organizacija koja je napadnuta na ovaj način opisana je kao mnogo manja kompanija a istraživači kažu da su napadači možda tražili informacije o plaćanju u ovom slučaju da bi videli da li je moguće da novac zarade na drugi način ako žrtva ne plati.

Bez obzira na razlog zbog kojeg Sodinokibi sada skenira podatke o kreditnim karticima i podatke o plaćanju, on je i dalje veoma efikasan ransomware.

Istraživači kažu da je jasno da su oni koji stoje iza ransomwarea veoma vešti i ne veruju da će se njihova aktivnost uskoro smanjiti.

Sodinokibi se širi tako što koristi Windowsovu ranjivost koja je ispravljena u oktobru 2018. godine. Stoga je jedan od najboljih načina na koji kompanije mogu sprečiti napad ransomwarea Sodinokibi ali i mnogih drugih ransomwarea ili malvera da zaštite uređaje i mreže najnovijim bezbednosnim ispravkama za poznate ranjivosti.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje