Los atacantes distribuyen Sodinokibi ransomware (también conocido como Revil y Sodin) por correo electronico, haciéndose pasar por empleados de la Oficina Federal Alemana para la Seguridad de la Información (Oficina Federal para la Seguridad de la Información).
lacantar el mensaje “Advertencia sobre los datos del usuario en peligro” ("Warning comprometida datos de usuario") como el sujeto, atacantes instan a sus víctimas para abrir un archivo adjunto con un documento PDF malicioso, dice el mensaje BSI.Correo basura (Inglés):
Tema: Mensaje de advertencia de datos de usuario comprometido – Oficina Federal para la Seguridad de la Información
contenido: Estimados señores y Madames,
La ley europea de ciberseguridad entró en vigor el 27 junio 2019. Desde entonces, la Oficina Federal para la Seguridad de la Información se ha visto obligado a informarle sobre el posible mal uso de sus datos.
En julio 14, 2019, varias vulnerabilidades se encuentran en los sitios web de alto tráfico, que condujo a la pérdida de información personal. Después de un cuidadoso análisis de los conjuntos de datos disponibles para nosotros, podemos decir que sus datos son parte de este conjunto de datos, por lo que recomendamos que usted modifique inmediatamente contraseñas comprometidas.
Después de que el documento abierto en el sistema, los HTA archivo se puso en marcha con el mshta.exe utilidad legítima, a continuación, el software desorbitado Sodinokibi se carga en el sistema de.
Al infectar el sistema, el malware elimina las instantáneas de los archivos y deshabilita la recuperación de inicio de Windows. Entonces Sodinokibi cifra los archivos en el sistema y para su restauración requiere $2500 en Bitcoin, después de un período determinado la cantidad se eleva a $5000.
El malware también creará notas de rescate utilizando el nombre [extensión]-How-to-DECRYPT.txt formato para todas las carpetas escaneadas, con las notas de rescate también con claves únicas y enlaces al sitio de pago.
Cuando las víctimas visitan los sitios de pago suministrados por los atacantes, tendrán que introducir su extensión única y la clave para llegar a la página de solicitud de rescate.
Anteriormente se informó acerca de los ataques en los que los operadores Sodinokibi hackeado proveedores de servicios gestionados a través Webroot SecureAnywhere y ha infectado a sus clientes’ sistemas con software desorbitado.
En junio, Oráculo fijo la vulnerabilidad de deserialización WebLogic Server, que fue utilizado anteriormente para distribuir el software y criptomoneda exorbitantes mineros Sodinokibi.
