공격자는 Sodinokibi의 랜섬웨어를 배포 (또한 레빌과 Sodin로 알려진) 이메일로, 정보 보안에 대한 독일 연방 사무소의 직원으로 포즈 (정보 보안에 대한 연방 사무소).
U은 "손상된 사용자 데이터에 대한 경고"메시지를 노래 ("경고 손상된 사용자 데이터") 주제로, 공격자는 악의적 인 PDF 문서에 첨부 파일을 열 피해자를 촉구한다, 말한다 BSI의 메시지.스팸 메일 (영어):
제목: 손상된 사용자 데이터의 경고 메시지 – 정보 보안에 대한 연방 사무소
함유량: 친애하는 한이 및 Madames,
유럽 사이버 법 발효 27 유월 2019. 그때부터, 정보 보안에 대한 연방 사무소 데이터의 오용 가능성에 대해 알려 의무가있다.
칠월 14, 2019, 여러 가지 취약점은 트래픽이 높은 웹 사이트에서 발견되었다, 이는 개인 정보의 손실을 주도. 우리가 사용할 수있는 데이터 세트의주의 깊은 분석 후, 우리는 당신의 데이터는이 데이터 집합의 부분이라고 말할 수 있습니다, 그래서 우리는 당신이 즉시 손상된 암호를 변경하도록 조언.
문서는 시스템에 오픈 한 후, 그만큼 HTA 파일은 합법적 인 유틸리티는 Mshta.exe를 사용하여 시작됩니다, 다음 Sodinokibi 강요 소프트웨어는 시스템에로드.
시스템을 감염시켜, 악성 코드는 파일의 섀도 복사본을 제거하고 윈도우 시작시 복구를 비활성화. 그런 다음 Sodinokibi는 시스템과 복원이 필요에 파일을 암호화 $2500 비트 코인에, 량이 상승 지정한 시간 동안 $5000.
악성 코드는 또한 사용하여 명명 몸값 노트를 작성합니다 [신장]-HOW-TO-DECRYPT.txt 스캔 된 모든 폴더 형식, 몸값 노트로도 지불 사이트에 고유 키와 링크를 특징으로.
피해자는 공격자가 제공 한 지급 사이트를 방문 할 때, 그들은 몸값 요청 페이지로 이동 고유의 확장 및 키를 입력해야합니다.
이전 그것은 Sodinokibi 사업자를 통해 서비스 제공 업체 관리를 해킹하는 공격에 대한보고 웹 루트 SecureAnywhere 자신의 클라이언트를 감염’ 강요 소프트웨어와 시스템.
유월 안에, 신탁 결정된 역 직렬화 취약점에 웹 로직 서버, 이전에 강요 Sodinokibi 소프트웨어와 암호 화폐 광부를 배포하는 데 사용 된.
