Angribere distribuere Sodinokibi ransomware (også kendt som REvil og Sodin) via e-mail, udgør som ansatte i det tyske forbundskontor for informationssikkerhed (Forbundskontor for informationssikkerhed).
densynge ”Advarsel om kompromitteret brugerdata” besked ("Advarsel kompromitteret brugerdata") som emne, angribere opfordre deres ofre til at åbne en vedhæftet fil med en ondsindet PDF-dokument, siger BSI besked.Spam e-mail (engelsk):
Emne: Advarsel budskab om kompromitteret brugerdata – Forbundskontor for informationssikkerhed
Indhold: Kære Herrer og Madames,
Den europæiske cybersikkerhed Loven trådte i kraft den 27 juni 2019. Siden da, Forbundskontoret for informationssikkerhed er blevet tvunget til at informere dig om eventuelt misbrug af dine data.
I juli 14, 2019, flere sårbarheder blev fundet på stærkt trafikerede hjemmesider, som førte til tab af personlige oplysninger. Efter en grundig analyse af de datasæt til rådighed for os, Vi kan sige, at dine data er en del af dette datasæt, så vi råde dig til straks ændre kompromitterede adgangskoder.
Når dokumentet åbnes på systemet, Det MTV fil startes ved brug af legitime nytte Mshta.exe, så Sodinokibi ublu softwaren er indlæst på systemet.
Ved at inficere systemet, malware fjerner øjebliksbilleder af filerne og deaktiverer opsving på Windows opstart. Så Sodinokibi krypterer filer på systemet, og for deres restaurering kræver $2500 i Bitcoin, efter en bestemt periode mængden stiger til $5000.
Den malware vil også skabe løsesum noter navngivet ved hjælp af [udvidelse]-HOW-TO-DECRYPT.txt format til alle scannede mapper, med løsepenge bemærker også med unikke nøgler og links til betalingssiden.
Når ofrene besøger betaling sites leveret af angriberne, de vil have til at indtaste deres unikke udvidelse og nøgle for at komme til løsesum anmodning siden.
Tidligere blev det rapporteret om angreb, hvor Sodinokibi operatører hacket forvaltes tjenesteudbydere gennem Webroot SecureAnywhere og inficeret deres klienter’ systemer med ublu software.
I juni, Oracle fast den deserialization sårbarhed i WebLogic Server, som tidligere blev brugt til at distribuere de ublu Sodinokibi software og cryptocurrency minearbejdere.
