03/07/20
Операторы вымогательского ПО Sodinokibi (REvil) требуют выкуп в размере $14 млн от бразильской электроэнергетической компании Light S.A.
Хотя компания подтвердила факт кибератаки, она не представила никаких подробностей. Тем не менее, специалистам из AppGate удалось заполучить образец вымогательского ПО и выяснить, что злоумышленники использовали Sodinokibi.
Проанализировав вредонос, исследователи обнаружили данные о его операторах, идентификатор вредоносной кампании и URL-адрес, по которому жертвы должны связываться с киберпреступниками для дальнейших инструкций. На странице в даркнете, куда вел указанный URL-адрес, сказано, что до 19 июня жертва должна была заплатить вымогателям 106 870,19 XMR (Monero) – эквивалент порядка $14 млн. Также отчетливо упоминается название вредоноса – Sodinokibi.
По словам исследователей, атака выглядит очень «профессионально», а на странице даже присутствует чат для непосредственного общения с операторами вредоноса.
Sodinokibi распространяется по бизнес-модели «вымогательское ПО как услуга» (RaaS). Его оператором является киберпреступная группировка Pinchy Spider, также ответственная за распространение вымогательского ПО GandCrab. Как показал анализ вредоноса, он оснащен функцией повышения привилегий путем эксплуатации уязвимости CVE-2018-8453 в Windows.
