Somos compatíveis com navegadores, não com dinossauros. Atualize o navegador se quiser ver o conteúdo desta página web corretamente.

Não sabe qual é a solução de segurança ideal para a sua empresa?

O que é o ransomware Sodinokibi (REvil)?

Identificado pela primeira vez em 2019, o Sodinokibi (também conhecido como REvil ou Ransomware Evil) foi desenvolvido como uma operação privada de ransomware como serviço (RaaS), acredita-se, com sede na Rússia. O amplo alcance e a eficiência do Sodinokibi se revelaram quase imediatamente, pois, em quatro meses, ele se tornou o quarto tipo de ransomware mais comum.

Com a abordagem de RaaS para distribuição, muitas pessoas tiveram acesso ao código do ransomware, resultando em uma grande quantidade de variantes e ataques cada vez mais agressivos de diferentes vetores, inclusive ataques de spam e servidor. Isso o torna uma forma de ransomware especialmente perigosa.

Este artigo analisa as origens do Sodinokibi, como ele opera e o que pode ser feito para proteger sua rede contra essa ameaça.

Teste o Avast Business Hub GRATUITAMENTE por 30 dias

Todas as empresas merecem a melhor segurança cibernética da categoria. Baixe o Avast Business Hub e teste por 30 dias, sem riscos.

O que é o ransomware Sodinokibi/REvil?

O Sodinokibi é fornecido como ransomware como serviço (RaaS), o que significa que afiliados atuam na distribuição do ransomware e dividem os pagamentos de resgate com os desenvolvedores. Ele compartilha semelhanças com o código conhecido dos notórios grupos de hackers DarkSide e GandCrab, que acreditamos ser os responsáveis por 40% das infecções de ransomware em todo o mundo.

O vírus é normalmente distribuído por meio de técnicas de phishing, que induzem os usuários a abrir arquivos maliciosos disfarçados de anexos de e-mail, documentos e planilhas.

O foco desse tipo de malware são grandes ataques de ransomware contra grandes organizações e figuras públicas, com a intenção de receber grandes pagamentos de resgate e publicar informações privadas no próprio blog do grupo. O Sodinokibi tem sido usado por cibercriminosos para:

Quem está por trás do ransomware Sodinokibi?

Identificar a origem dos criadores do ransomware tem sido difícil. Inicialmente, os ataques pareciam se concentrar na Ásia, mas logo surgiram na Europa. Uma região que não foi atacada foi a Rússia, sugerindo que essa é a origem do malware.

Uma operação que envolveu 17 países resultou na prisão de cinco suspeitos ligados ao Soninokibi/REvil. Em janeiro de 2022, as autoridades russas anunciaram que o grupo havia sido desmantelado.

Embora essa seja uma boa notícia, ela não significa que a ameaça acabou. Devido ao estilo de distribuição do ransomware e ao relacionamento do criador com outros grupos, o código Sodinokibi ainda pode ser usado ou modificado para novos vetores de ataque.

Como funciona o ransomware Sodinokibi?

Um dos principais desafios do ransomware Sodinokibi é detectá-lo. Grande parte do código é disfarçado ou criptografado, o que dificulta a identificação por antivírus. Isso destaca a importância de se estabelecer uma estratégia de segurança holística de várias camadas que combine treinamento, práticas recomendadas e software para identificar possíveis ameaças o mais cedo possível.

Esta seção examinará detalhadamente o processo de ataque para ajudar os usuários a entender melhor como o ransomware opera.

Para mais informações sobre outros tipos de ransomware de alto perfil, leia os guias para o Phobos e o WannaCry.

1. Inicialização do ransomware

Um ataque começa quando ele se torna o único processo em execução no endpoint atacado. Em seguida, ele executa explorações para identificar vulnerabilidades causadas pela falta de instalação de patches de segurança. Depois disso, o próximo passo é alterar as permissões de acesso para obter privilégios totais de administrador. Em seguida, ele será reiniciado no modo Admin.

O sistema então é escaneado em busca dos IDs de idioma. O código contém uma lista de isenções, que identifica os países pelo idioma do dispositivo, para que o ransomware não ataque endpoints em países do leste europeu. Essas informações ajudaram os investigadores a identificar que o grupo de hackers operava da Rússia.

Em seguida, os arquivos no sistema de backup do Windows (Shadow Copies) são excluídos e o editor de política de inicialização é usado para desabilitar os modos de recuperação. O sistema é então verificado em busca de pastas de backup, que são excluídas e substituídas para impossibilitar a recuperação.

1. Inicialização do ransomware

2. Geração e troca de chave

As chaves de criptografia são criadas em pares: uma disponível publicamente e a outra mantida pelo invasor. Sem ambas, recuperar os dados roubados é quase impossível. O Sodinokibi usa um algoritmo de geração e troca de chaves conhecido como Diffie-Hellman de curva elíptica (ECDH).

2. Geração e troca de chave

3. Criptografia

O Sodinokibi usa dois tipos de criptografia:

  • AES é usado para criptografar a chave privada e para transferência de dados entre redes.
  • Salsa20 é usado para criptografar arquivos do usuário.

Os documentos do usuário são coletados de todos os arquivos que não foram marcados como isentos e criptografados com Salsa20, gerando uma chave única para cada arquivo. Ficará claro quais arquivos foram criptografados, pois o ransomware adiciona uma extensão a cada arquivo afetado.

A operação agora preparará os dados para envio ao servidor do invasor.

3. Criptografia

4. Exigências

Depois que um arquivo é criptografado, uma nota de resgate é criada e colocada na mesma pasta. Esse processo se repete para cada pasta que contém arquivos criptografados. Um modelo para isso está incluído no ransomware Sodinokibi e é atualizado automaticamente com o ID do usuário e outras informações relevantes, incluindo uma chave.

4. Exigências

Descriptografia do Sodinokibi

A nota de resgate oferece instruções claras sobre como os usuários podem recuperar seus dados. Elas incluem instalar um navegador TOR, acessar um link exclusivo e inserir uma chave.

Nessa página, são apresentados os detalhes do resgate. Os usuários precisam pagar para baixar o software de descriptografia e recebem um prazo para isso. O não cumprimento do prazo resulta na duplicação do preço. O pagamento é exigido em Bitcoin.

4. Exigências

Em setembro de 2021, foi anunciado que as empresas de segurança cibernética e a polícia nos EUA criaram uma chave de descriptografia universal gratuita que poderia devolver arquivos a qualquer empresa que fosse atacada antes de 13 de julho de 2021. No entanto, para proteger os dados da sua empresa contra novos ataques, uma ferramenta de proteção contra ransomware é crucial, pois não há garantia de que a chave funcione em criptografias que ocorrem após essa data.

Proteção contra um ataque REvil

Como uma forma tão variada e perigosa de ransomware, os usuários corporativos precisam garantir a proteção da rede e dos dispositivos contra a ameaça de um ataque de ransomware Sodinokibi/REvil. As etapas essenciais para isso incluem:

  • Atualizações regulares do sistema. As vulnerabilidades são uma rota comum nos sistemas, tornando essencial que patches, correções e atualizações sejam aplicados assim que estiverem disponíveis.
  • Fornecer treinamento de segurança cibernética para a equipe. O erro humano é uma das principais causas da violação de dados. Evite isso fornecendo treinamento para a equipe em todos os níveis da empresa. O recurso de teste e aprendizado de segurança cibernética do Avast Business ajudará a avaliar o conhecimento básico sobre o assunto e identificar onde é necessário mais treinamento.
  • Backup de dados. Como o nome sugere, os ataques de ransomware são projetados para roubar dados e vendê-los de volta aos proprietários. Manter backups remotos seguros significa que dados e documentos vitais permanecerão seguros e acessíveis, mesmo que o pior aconteça.
  • Controle de acesso. As permissões de acesso devem ser estritamente limitadas àqueles que precisam de acesso direto. Audite as permissões de toda a empresa para garantir que os privilégios de administrador sejam reduzidos ao mínimo, diminuindo o acesso aos controles de rede caso uma conta de usuário seja violada.
  • Adotar práticas recomendadas de segurança. Outra maneira de proteger os dados corporativos é garantir que as práticas recomendadas de segurança sejam implementadas. Isso deve incluir um requisito de senhas fortes, um processo para sinalizar atividades suspeitas e acordos de trabalho remoto para garantir que os dispositivos sejam atualizados e seguros. Como parte disso, o software de proteção contra ransomware e os escaneadores de malware devem estar instalados em todos os endpoints conectados à rede comercial para ajudar a detectar e remover ransomwares.
  • Conduzir inspeções e avaliação de vulnerabilidade regulares. Deve-se verificar regularmente se há atividades incomuns nos logs de eventos, como alta atividade fora do horário comercial, para que elas sejam detectadas e avaliadas rapidamente.
  • Ter um plano de resposta. O planejamento de desastres é fundamental para a proteção dos negócios e isso se estende ao mundo digital. Realize regularmente exercícios de ataque, informe a equipe com quem entrar em contato no caso de um ataque de ransomware e implemente um plano de continuidade de negócios (BCP) para que a empresa possa continuar operando após um ataque

Proteja-se contra o ransomware Sodinokibi

Os membros do grupo por trás do ransomware Sodinokibi/REvil podem ter sido presos em janeiro de 2022, mas esse malware é apenas um entre muitos. Proteja sua empresa de uma grande variedade de ataques com o Avast Business Hub, nossa plataforma de segurança integrada e baseada em nuvem para pequenas e médias empresas.

Fechar

Falta pouco!

Conclua a instalação clicando no arquivo baixado e seguindo as instruções na tela.

Inicializando download...
Atenção: se o download não se iniciar automaticamente, clique aqui.
Clique neste arquivo para começar a instalação do Avast.