Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Opisi virusa, 24.06.2020, 10:30 AM

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i softver PoS terminala i na taj način zaradila dodatni novac od napada.

Sodinokibi, poznat i kao REvil, pojavio se u aprilu 2019. godine i jedan od najopasnijih ransomwarea koji su trenutno aktuelni.

Ciljevi ransomwarea Sodinokibi bili su računari brojnih kompanija, a napadači su zahtevali otkupnine od nekoliko stotina hiljada do nekoliko miliona dolara u zamenu za ključeve za dešifrovanje.

U značajnom procentu slučajeva žrtva se oseća kao da nema drugog izbora nego da ispuni zahtev kako bi vratila šifrovane fajlove.

Ali istraživači kompanije Symantec nedavno su primetili novi element u napadima ovog ransomwarea - napadači skeniraju kompromitovane mreže tražeći PoS softver.

Moguće je da bi napadači mogli da iskoriste ove informacije kao sredstvo za zaradu dodatnog novca od napada, bilo da direktno koriste same podatke o plaćanju za upad u račune, ili da ih prodaju drugim kriminalcima na forumima sajber-podzemlja.

To ne bi bio prvi put da hakeri koji stoje iza Sodinokibija traže način da iskoriste podatke koje su kompromitovali u napadu. Oni su pretili da će objaviti informacije ukradene od žrtava ako ne plate otkupninu ali i da će ih prodati onima koji imaju najbolju ponudu.

“Traženje PoS softvera u sistemima žrtava je zanimljivo, jer se obično to ne dešava pored ciljanih napada ransomwarea”, kažu Symantecovi istraživači, dodajući da će biti zanimljivo videti da li je ovo bila samo oportunistička aktivnost u ovoj kampanji ili će to biti nova taktika koju su usvojile grupe koje distribuiraju ransomware.

Nova tehnika skeniranja PoS softvera primećena je u napadima na kompanije koje nude usluge, prehrambene proizvode i u zdravstvenom sektoru. Dve žrtve ovakvih napada istraživači opisuju kao velike kompanije koje napadači očigledno smatraju sposobnim da plate veliku otkupninu.

Zdravstvena organizacija koja je napadnuta na ovaj način opisana je kao mnogo manja kompanija a istraživači kažu da su napadači možda tražili informacije o plaćanju u ovom slučaju da bi videli da li je moguće da novac zarade na drugi način ako žrtva ne plati.

Bez obzira na razlog zbog kojeg Sodinokibi sada skenira podatke o kreditnim karticima i podatke o plaćanju, on je i dalje veoma efikasan ransomware.

Istraživači kažu da je jasno da su oni koji stoje iza ransomwarea veoma vešti i ne veruju da će se njihova aktivnost uskoro smanjiti.

Sodinokibi se širi tako što koristi Windowsovu ranjivost koja je ispravljena u oktobru 2018. godine. Stoga je jedan od najboljih načina na koji kompanije mogu sprečiti napad ransomwarea Sodinokibi ali i mnogih drugih ransomwarea ili malvera da zaštite uređaje i mreže najnovijim bezbednosnim ispravkama za poznate ranjivosti.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Istraživači iz firme Morphisec otkrili su novog trojanca u mreži neimenovane visokoškolske ustanove u SAD, za koga kažu da je aktivan od maja ove... Dalje

Lažni rezultat testa na COVID-19 krije novi ransomware

Lažni rezultat testa na COVID-19 krije novi ransomware

Istraživači Cofense Intelligencea upozorili su na novu verziju ransomwarea Hentai OniChan nazvanu „King Engine“ koja se krije u emailovi... Dalje

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Emotet je prošle nedelje promenio taktiku i sada koristi poruku Microsoft Officea u kojoj se navodi da Microsoft Word treba ažurirati da bi dobio no... Dalje

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje