Aanvallers verdelen Sodinokibi ransomware (ook bekend als revil en Sodin) per email, die zich voordoen als medewerkers van het Duitse Federaal Bureau voor Informatiebeveiliging (Federaal Bureau voor Informatiebeveiliging).
dezingen de “Waarschuwing over gecompromitteerde gebruikersgegevens” bericht ("Waarschuwing gecompromitteerde gebruikersgegevens") als onderwerp, aanvallers dringen hun slachtoffers naar een bijlage met een kwaadaardig PDF-document te openen, zegt de BSI bericht.Spam e-mail (Engels):
Onderwerpen: Waarschuwing bericht van gecompromitteerde gebruikersgegevens – Federaal Bureau voor Informatiebeveiliging
Inhoud: Geachte heren en Madames,
De Europese Cybersecurity Act in werking getreden op 27 juni- 2019. Sindsdien, het Federaal Bureau voor informatiebeveiliging is verplicht om u te informeren over mogelijk misbruik van uw gegevens.
In juli 14, 2019, meerdere kwetsbaarheden werden gevonden op high-traffic websites, die hebben geleid tot het verlies van persoonlijke informatie. Na een zorgvuldige analyse van de ons ter beschikking datasets, kunnen we zeggen dat uw gegevens maakt deel uit van deze dataset, dus we raden u aan gecompromitteerde wachtwoorden direct te wijzigen.
Nadat het document geopend op het systeem, De hta bestand wordt gestart met behulp van de legitieme hulpprogramma mshta.exe, vervolgens de Sodinokibi extortionate is geladen op het systeem.
Door het infecteren van het systeem, de malware verwijdert schaduwkopieën van bestanden en schakelt het herstel op het opstarten van Windows. Dan versleutelt Sodinokibi bestanden op het systeem en voor de restauratie vereist $2500 in Bitcoin, na een bepaalde periode het bedrag stijgt tot $5000.
De malware zal ook te maken losgeld nota's genoemd met behulp van de [uitbreiding]-How-to-DECRYPT.txt format voor alle gescande mappen, met het losgeld noten ook met unieke sleutels en links naar de betaalsite.
Wanneer de slachtoffers een bezoek aan de betaling plaatsen door de aanvallers geleverde, zij zullen hun unieke uitbreiding en sleutel in te voeren om het losgeld verzoek pagina te gaan.
Eerder werd gemeld over aanvallen waarbij Sodinokibi operators gehackt managed service providers door middel van Webroot SecureAnywhere en geïnfecteerd hun klanten’ systemen met woekerprijzen software.
In juni, Orakel vast de deserialisatie kwetsbaarheid in WebLogic Server, die voorheen werd gebruikt om de woekerprijzen Sodinokibi software en cryptogeld mijnwerkers distribueren.
