Мы поддерживаем браузеры, а не динозавров. Обновите свой браузер, чтобы содержимое данной веб-страницы отображалось правильно.

Продукты Avast недоступны для скачивания и покупки на территории России и Беларуси
Не можете определиться с выбором оптимального решения для своего бизнеса?

Программа-вымогатель Sodinokibi (REvil)

Sodinokibi (известная также как REvil или Ransomware Evil), впервые обнаруженная в 2019 году, была разработана по принципу частная «программа-вымогатель как услуга» (RaaS) и базируется, предположительно, в России. Широкий охват и эффективность Sodinokibi были замечены практически мгновенно, поскольку она стала четвертой среди самых распространенных программ-вымогателей за первые четыре месяца своего существования.

Способ распространения RaaS означает, что к исходному коду программы-вымогателя имело доступ много людей, генерируя множество вариантов и атаки с нарастающей агрессивностью с разных направлений, включая спам и серверные атаки. В результате получается особо опасный тип программы-вымогателя.

В этой статье мы рассмотрим происхождение Sodinokibi, принцип ее работы и действия, которые можно предпринять для защиты сети от программы-вымогателя.

Попробуйте Avast Business Hub БЕСПЛАТНО в течение 30 дней

Любой бизнес заслуживает киберзащиты высшего класса. Загрузите Avast Business Hub и опробуйте бесплатно на протяжении 30 дней без каких-либо рисков.

Что представляет собой программа-вымогатель Sodinokibi/REvil?

Sodinokibi предоставляется в формате программа-вымогатель как услуга (RaaS), то есть для ее распространения используются соучастники, которые делят с разработчиками деньги, полученные в качестве выкупа. Она имеет общие черты с известным кодом от пресловутых хакерских группировок DarkSide и GandCrab, которые, как предполагается, стоят за 40 % заражений программами-вымогателями во всем мире.

Этот вирус обычно распространяется с помощью инструментов фишинга, обманом заставляющих пользователей открывать вредоносные файлы, замаскированные под вложения в электронные письма, документы и таблицы.

Главной целью вредоносных программ такого типа являются атаки программ-вымогателей на большие организации и публичных лиц с намерением получить большой выкуп и опубликовать частную информацию в личном блоге группировки. Sodinokibi применялась киберпреступниками в приведенных ниже атаках.

Кто стоит за программой-вымогателем Sodinokibi?

Происхождение создателей программы-вымогателя сложно определить. Поначалу атаки, казалось, были нацелены на Азию, однако скоро появились и в Европе. Единственным регионом, который не подвергся атакам, была Россия, что, предположительно, указывало на страну происхождения.

Операция с участием 17 стран привела к аресту пяти подозреваемых, связанных с Sodinokibi/REvil. В январе 2022 года российские власти сообщили, что группировка ликвидирована.

Хоть это и хорошие новости, они не означают, что угроза исчезла. Из-за способа распространения программы-вымогателя и связей создателя с другими группами код Sodinokibi все еще может использоваться либо адаптироваться под новые направления атак.

Как работает программа-вымогатель Sodinokibi?

Одна из главных сложностей, связанных с программой-вымогателем Sodinokibi, — ее обнаружение. Большая часть ее кода скрыта либо зашифрована, что усложняет обнаружение сканерами антивируса. Это подчеркивает важность создания многоуровневой единой стратегии защиты, сочетающей обучение, лучшие методы и ПО для как можно более раннего выявления потенциальных угроз.

В этом разделе мы подробно рассмотрим процесс атаки, чтобы помочь пользователям лучше понять принцип работы программы-вымогателя.

Подробнее о других резонансных типах программ-вымогателей читайте в наших руководствах по угрозам Phobos и WannaCry.

1. Инициализация программы-вымогателя

Атака начинается с проверки того, что программа является единственным процессом, запущенным на конечной точке. Затем выполняются эксплойты для определения уязвимостей, появившихся из-за отсутствия исправлений системы безопасности. Следующий шаг — изменение разрешений на доступ, чтобы получить все права администратора. В итоге выполняется перезапуск в режиме администратора.

Затем сканируются идентификаторы языка системы. В коде содержится список исключений, определяющий страны по языку устройства, чтобы программа-вымогатель не атаковала конечные точки в странах восточной Европы. Эта информация помогла следователям выяснить, что хакерская группировка работала из России.

После этого удаляются файлы в системе резервного копирования Windows (теневые копии), а с помощью редактора политики загрузки отключаются режимы восстановления. Затем система сканируется на наличие папок с резервными копиями, которые удаляются и перезаписываются, чтобы сделать невозможным их восстановление.

1. Инициализация программы-вымогателя

2. Генерирование и обмен ключа

Ключи шифрования создаются парами — один открытый, а второй принадлежит злоумышленнику. Без обоих ключей практически невозможно восстановить украденные данные. Sodinokibi использует алгоритм генерирования и обмена ключа под названием протокол Диффи — Хеллмана на эллиптических кривых (ECDH).

2. Генерирование и обмен ключа

3. Шифрование

Sodinokibi использует два типа шифрования:

  • AES применяется для шифрования закрытого ключа и передачи данных между сетями;
  • Salsa20 применяется при шифровании файлов пользователя.

Массив документов пользователя собирается из всех файлов, не помеченных как исключения, и шифруется алгоритмом Salsa20, в результате чего создается уникальный ключ для каждого файла. Зашифрованные файлы будет легко определить, поскольку программа-вымогатель добавляет к ним новое расширение.

После этого происходит подготовка данных к отправке на сервер злоумышленника.

3. Шифрование

4. Требования

После шифрования файла в той же папке создается записка с требованием выкупа. Эта процедура повторяется для каждой папки, содержащей зашифрованные файлы. Ее шаблон включен в программу-вымогатель Sodinokibi и автоматически дополняется идентификатором пользователя и другой связанной информацией, в частности ключом.

4. Требования

Дешифровка Sodinokibi

Записка с требованием выкупа содержит четкие инструкции для пользователя, как восстановить свои данные. Они включают установку браузера TOR, переход по уникальной ссылке и ввод ключа.

Именно на этой странице сообщаются подробности о выкупе. Пользователи должны заплатить, чтобы получить ПО для дешифровки, и сделать это нужно в определенный срок. Нарушение этого срока приводит к удвоению цены. Оплата требуется в биткоинах.

4. Требования

В сентябре 2021 года объявили, что организации, специализирующиеся на киберзащите, и правоохранительные органы США создали бесплатный универсальный ключ для дешифровки, который может вернуть файлы всем компаниям, пострадавшим до 13 июля 2021 года. Однако, чтобы в будущем защитить данные своей компании от атак, критически необходим инструмент для защиты от программ-вымогателей, поскольку нет гарантий, что ключ подойдет для данных, зашифрованных после этой даты.

Защита от атаки REvil

При такой меняющейся и опасной форме программы-вымогателя корпоративные пользователи должны обеспечить защиту своей сети и устройств от угрозы атаки Sodinokibi/REvil. Можно обозначить следующие ключевые шаги.

  • Регулярное обновление систем. Уязвимости — распространенный путь для доступа к системам, поэтому необходимо устанавливать исправления и обновления как можно скорее после их выхода.
  • Обучение персонала кибербезопасности. Человеческие ошибки — одна из основных причин утечек данных. Предотвратите их, обучив персонал на всех корпоративных уровнях. Тест по кибербезопасности и учебные материалы Avast Business помогут оценить базовые знания по теме и определить области, требующие дополнительного обучения.
  • Резервное копирование данных. Как понятно из названия, программы-вымогатели нацелены на кражу данных и перепродажу их владельцам. Безопасное удаленное хранение резервных копий позволяет защитить самые важные данные и документы и сохранить к ним доступ, даже если случится наихудшее.
  • Контроль доступа. Разрешения на доступ следует строго ограничивать кругом тех, кому он непосредственно нужен. Пересмотрите разрешения во всей компании, чтобы убедиться, что права администратора максимально ограничены, и предотвратить доступ к управлению сетью при взломе учетной записи пользователя.
  • Внедрение лучших правил для безопасности. Еще один способ защитить данные компании — обеспечить внедрение лучших корпоративных правил для безопасности. Они должны включать использование сложных паролей, процедуру сообщения о подозрительной активности и соглашения по удаленной работе, чтобы обеспечивать обновление и защиту устройств. Кроме того, стоит установить ПО для защиты от программ-вымогателей и сканеры вредоносных программ на все конечные точки корпоративной сети, чтобы способствовать их обнаружению и удалению.
  • Регулярные проверки и анализ уязвимостей. Следует регулярно проверять журналы событий, чтобы оперативно замечать и анализировать подозрительные действия, например высокую активность в нерабочее время.
  • Наличие плана реагирования. Планирование на случай чрезвычайных происшествий — залог защиты бизнеса, и это правило также действует для цифрового мира. Периодически проводите тренировки, чтобы персонал знал, к кому обращаться в случае реальной атаки программы-вымогателя и что есть план обеспечения бесперебойной деятельности компании (BCP) для продолжения работы после атаки.

Защита от программы-вымогателя Sodinokibi

Возможно, участников группы, ответственной за программу-вымогатель Sodinokibi/REvil, арестовали в январе 2022 года, однако их вредоносная программа лишь одна из многих. Защитите свою компанию от широкого спектра атак с помощью Avast Business Hub — нашей интегрированной облачной платформы обеспечения безопасности для малого и среднего бизнеса.

Закрыть

Почти готово!

Завершите установку, нажав загруженный файл и выполнив инструкции.

Начало загрузки…
Примечание. Если загрузка не началась автоматически, нажмите здесь.
Щелкните этот файл, чтобы начать установку Avast.