Angripere spre Sodinokibi ransomware på vegne av tyske etterretningstjenesten

Angripere distribuere Sodinokibi ransomware (også kjent som REvil og Sodin) via epost, poserer som ansatte i det tyske føderale kontoret for Information Security (Føderale kontoret for informasjonssikring).

densynge “Advarsel om kompromitterte brukerdata” -melding ("Advarsel kompromittert brukerdata") som emnet, Angriperne oppfordrer sine ofre til å åpne et vedlegg med en skadelig PDF-dokument, sier BSI melding.

spam e-post (Engelsk):

Emne: Advarsel kompromittert brukerdata – Føderale kontoret for informasjonssikring
Innhold: Kjære herrer og Madames,
Den europeiske Cybersecurity loven trådte i kraft 27 juni 2019. Siden da, den føderale kontoret for informasjonssikring har vært nødt til å informere deg om mulig misbruk av data.
I juli 14, 2019, flere sårbarheter ble funnet på høy trafikk nettsteder, noe som førte til tap av personlig informasjon. Etter grundig analyse av datasett tilgjengelig for oss, Vi kan si at dataene dine er en del av dette datasettet, så vi anbefaler deg å umiddelbart endre svekket passord.

Når dokumentet åpnes på systemet, De HTA filen er lansert med legitime verktøyet Mshta.exe, da den Sodinokibi extortionate programvaren er lastet inn i systemet.

Ved å infisere systemet, malware fjerner skyggekopier av filene og deaktiverer gjenoppretting på Windows-oppstart. Deretter Sodinokibi krypterer filer på systemet og for deres restaurering krever $2500 i Bitcoin, etter en bestemt periode mengden stiger til $5000.

Den malware vil også skape utpresserne navngitt bruker [forlengelse]-How-To-DECRYPT.txt format for alle skannede mapper, med utpresserne også med unike nøkler og lenker til betalingsside.

Når ofrene besøke betalingssider levert av angriperne, de blir nødt til å oppgi sine unike forlengelse og nøkkelen til å komme til løsepenger forespørsel siden.

Tidligere ble det rapportert om angrep som Sodinokibi operatører hacket administrerte tjenesteleverandører gjennom Webroot SecureAnywhere og infisert sine kunder’ systemer med extortionate programvare.

I juni, Oracle fast sårbarheten deserialization i WebLogic Server, som tidligere ble brukt til å fordele extortionate Sodinokibi programvare og kryptovaluta gruvearbeidere.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen