Выкуп в биткоинах или потеря данных: что такое Sodinokibi и как с ним бороться
Еще один повод задуматься о кибербезопасности
Вирусы-вымогатели уже не новая, но по-прежнему реальная угроза для компаний. Хакеры постоянно придумывают новые зловреды, которые подстраиваются под системы защиты. Одна из таких программ — Sodinokibi.
Владимир Иванов, руководитель службы информационной безопасности Acronis, рассказывает об этой киберугрозе.
Пока весь мир готовился к празднованию Нового года, Travelex столкнулась с разрушительной программой-вымогателем. В первые часы 31 декабря валютная компания, входящая в холдинг FinabIr, подверглась атаке Sodinokibi.
Эта мощная и очень опасная программа зашифровала важные файлы и оставила на взломанных компьютерах README-файлы. Согласно указаниям в этих файлах, Travelex должна заплатить шестизначную сумму в биткоинах через домен верхнего уровня, зарегистрированный в Китае. Хакеры направили сотрудников компании на сайт, где пользователи должны ввести ключ доступа, чтобы получить инструкции об оплате выкупа.
Из-за атаки сайты Travelex в 20 странах оказались недоступны, и пункты обмена валюты в аэропортах остались без связи с интернетом и доступа к электронной почте.
Сообщается, что заражены компьютеры, на которых хранится конфиденциальная информация, включая имена и банковские реквизиты клиентов. Атака Soninokibi стала причиной не только приостановки операций Travelex, но и сбоев в работе таких банков, как Barclays, Virgin Money и Sainsbury’s.
IT-специалисты компании с 31 декабря пытаются восстановить поврежденные системы и предотвратить распространение вируса. В Travelex отказались рассказывать о том, планирует ли компания платить выкуп, но в любом случае ситуация губительна для репутации компании.
Имиджу компании еще больше навредила последующая новость: стало известно, что Travelex месяцами не исправляла найденную уязвимость в серверах Pulse Secure VPN, которые она использует для удаленного доступа в интернет.
Эксперты обнаружили, что в сервисах Pulse Secure есть уязвимости, с помощью которых можно получить скрытый доступ к сети организации. В ответ на это в апреле прошлого года Pulse Secure выпустила пояснения и патчи.
В сентябре специалисты по кибербезопасности предупредили тысячи компаний о том, что хакеры ищут пути использования этих уязвимостей. Компания Bad Packets провела анализ, который показал, что Travelex исправила серверы только в начале ноября 2019 года.
Откуда появился Sodinokibi
В апреле 2019 года эксперты Cybereason Nocturnus выявили и проанализировали труднообнаружимую программу-вымогатель нового поколения под названием Sodinokibi. Эта программа зашифровывает все важные корпоративные файлы, кроме тех, которые указаны в конфигурационных файлах. Поврежденную систему можно использовать, но все ключевые сведения компании становятся недоступны.
Sodinokibi, скорее всего, распространяется теми же самыми злоумышленниками, которые были известны атаками вымогателей из семейства GandCrab (оно, судя по сообщениям на подпольных форумах, больше не будет развиваться).
Принцип действия вируса Sodinokibi
Попав в систему, вредоносное ПО старается запустить себя с расширенными правами, чтобы получить доступ ко всем файлам и ресурсам ПК без ограничения.
Киберпреступники прибегают к разным приемам, чтобы проникнуть в сети своих жертв и установить Sodinokibi. Нередко они используют подключения через протокол Microsoft Remote Desktop Protocol (RDP), который обеспечивает инженерам удаленный доступ к компьютерам с Windows.
Атакующие подбирают слабые пароли или, возможно, эксплуатируют уязвимость BlueKeep (CVE-2019-0708). Также зафиксированы случаи использования уязвимости в Oracle WebLogic (CVE-2019-2725) для получения доступа к системе.
Перед тем как зашифровать файлы пользователя, Sodinokibi проводит поиск по всем файловым системам, включая сетевые папки, чтобы обнаружить каталоги с названием backup, и безвозвратно удаляет их.
Интересно, что перед удалением самого каталога зловред сначала заменяет контент во всех таких папках случайным набором байтов, чтобы сделать восстановление невозможным в принципе.
На какие вирусы похож Sodinokibi?
Эта хакерская атака не уникальна. Достаточно вспомнить атаки WannaCry, SimpleLocker и TeslaCrypt, произошедшие за последние пять лет. Программы-вымогатели сложно обнаружить, и они постоянно подстраиваются под средства защиты систем.
По данным исследований, количество атак программ вымогателей-шифровальщиков (Ransomware) в прошлом году выросло до 200 миллионов, а Cybersecurity Ventures предсказывает, что к 2021 году бизнес будет подвергаться атакам каждые 11 секунд.
Согласно анализу уязвимости бизнеса кибератакам от Proofpoint, самые атакуемые подразделения компаний — R&D, маркетинг и PR, отделы производства и продаж.
Как бороться с Sodinokibi
Как показал пример Travelex, ретроспективная реакция на атаку Sodinokibi и подобных программ редко бывает эффективна. Для этой программы-вымогателя нет бесплатного способа расшифровать данные, и единственная возможность восстановить данные — использовать сервис дешифрования, предоставленный злоумышленником.
Специалисты в области киберзащиты считают, что для действенной борьбы с программами-вымогателями нужно проактивное решение на базе искусственного интеллекта. Это эффективно: к примеру, нашей компании в прошлом году удалось предотвратить более 400 тысяч атак программ-вымогателей, используя этот подход.
Специальные решения киберзащиты объединяют защиту данных и передовые инструменты кибербезопасности и с помощью ИИ отличают потенциально опасную активность от нормальных действий и прерывают подозрительные операции сразу в режиме реального времени до причинения ущерба.
Фото в тексте и на обложке: Unsplash
-
Бизнес Имитация кибератаки: как проверить защищенность своей компании 11 декабря 2019, 14:59
-
Бизнес Думать о защите от киберугроз нужно с самого начала работы компании – потом может быть поздно 01 августа 2019, 16:08
-
Кибербезопасность Почему больницам важно следить за своей кибербезопасностью 11 апреля 2019, 17:45
-
Личное Фёдор Овчинников: «Пять месяцев в тундре — путешествие в другое измерение» 14 мая 2026, 13:18
-
Технологии Александр Пьянов, «Яндекс Драйв»: «Мы готовы стать агрегатором для всего рынка каршеринга» 08 апреля 2026, 12:26
-
Искусственный интеллект Греф заявил о планах Сбера перейти на китайские чипы для GigaChat: ранее компания использовала микросхемы от Nvidia 20 мая 2026, 19:00
-
Искусственный интеллект Google внедрил ИИ в поисковую строку — это одно из самых масштабных обновлений компании за последние 25 лет 20 мая 2026, 19:45
-
Бизнес Поездки на самокатах в майские праздники выросли на 47–87% — сервисы адаптировались к отключениям интернета 20 мая 2026, 17:45
-
Искусственный интеллект Яндекс открыл интернет-магазинам доступ к продажам через Алису AI — клиенты смогут оформлять покупки в один клик 20 мая 2026, 17:00
-
Искусственный интеллект Google представила новые умные очки — устройства получат аудиоуправление на базе ИИ Gemini 20 мая 2026, 16:15
-
Бизнес Бизнес выступил против объединения обезличенных данных в госсистеме — из-за риска раскрытия сведений о пользователе 20 мая 2026, 13:45
-
Искусственный интеллект «Меры поддержки доказали эффективность»: Михаил Мишустин — о сохранении льгот для российского ПО и внедрении ИИ 18 мая 2026, 14:45
-
Искусственный интеллект Как ИИ используют для создания новых продуктов и ингредиентов: в Москве пройдёт Deep Food Tech — 2026 14 мая 2026, 17:31
