Examinando um ataque Sodinokibi

O Sodinokibi foi responsável por vários ataques notáveis no ano passado. Nesta introdução, descrevemos seu processo de invasão usando alguns dos exemplos que encontramos.

O Sodinokibi foi detectado pela primeira vez em abril de 2019 e vinculado ao já aposentado GandCrab. Desse ponto em diante, a ameaça lançou uma série de ataques a alvos visados que continuaram ao longo de 2020, tornando-se uma das famílias de ransomware que deve ser observada. Aqui, descrevemos um processo de ataque típico.

 

Análise técnica

Os agentes de ameaça por trás do Sodinokibi normalmente contratam uma variedade de afiliados para seu acesso inicial. Seus ataques geralmente começam com técnicas familiares, como e-mails malspam com links ou anexos de spear phishing, acesso RDP que usa contas válidas, sites comprometidos e explorações. Eles também usam técnicas que indicam sua abordagem direcionada.

 

Acesso inicial

Observamos o uso de várias dessas técnicas de acesso inicial. Por exemplo, como acontece com as campanhas, vimos o uso da vulnerabilidade CVE-2019-2725 e observamos uma instância em que o Sodinokibi foi carregado na memória do PowerShell por meio de carga reflexiva em vez de execução binária. Também notamos malspam (ou spam malicioso) que levou ao uso de uma macro para baixar e executar o malware.

CVE-2018-13379 e CVE-2019-11510 também são usados pelo malware, bem como contas válidas comprometidas. Isso permite que os agentes da ameaça descartem e executem outros componentes, como antivírus, ferramentas de exfiltração e, finalmente, o próprio Sodinokibi.

 

Movimento lateral e táticas de evasão

O Sodinokibi, como muitas famílias de ransomware conhecidas hoje, tem uma abordagem direcionada em relação às suas campanhas. Como evidência disso, observamos o uso de RDP e PsExec para movimento lateral — um sinal de ataques direcionados — para introduzir e executar outros componentes e o próprio ransomware.

Também observamos que o PC Hunter e o Process Hacker são usados para encerrar serviços ou processos, especialmente os serviços e processos relacionados ao software antivírus.

Assim que o sistema é infectado, o Sodinokibi envia um relatório e informações do sistema para seu servidor de comando e controle (command-and-control ou C&C). Ele gera uma URL pseudo-aleatória com base em um formato e geração fixos para adicionar a uma lista de domínios em sua configuração.

 

Recomendações de segurança 

O Sodinokibi é conhecido por ter como alvo entidades de alto perfil e usar táticas evasivas notáveis. As organizações devem, portanto, ser cautelosas com suas técnicas. Por enquanto, aqui estão algumas práticas recomendadas para evitar ataques de ransomware semelhantes:

  •         Evite abrir e-mails não verificados ou clicar em seus links incorporados, pois eles podem iniciar o processo de instalação do ransomware.
  •         Faça backup de seus arquivos importantes usando a regra 3-2-1: Crie 3 cópias de backup em 2 formatos de arquivo diferentes, com 1 dos backups em um local separado.
  •         Atualize software, programas e aplicações regularmente para garantir que suas aplicações estejam atualizadas, com as proteções mais recentes contra novas vulnerabilidades.

Se você acredita que sua organização foi afetada por esta campanha, visite esta página para ver as soluções Trend Micro disponíveis que podem te ajudar a detectar e mitigar quaisquer riscos que esta possa estar trazendo à sua empresa.

 

Indicadores de comprometimento (IOCs)

SHA256 Nome de detecção
04ae146176632509ab5239d0ec8f2447d7223090 Ransom.Win32.SODINOKIBI.MRA
10682d08a18715a79ee23b58fdb6ee44c4e28c61 Ransom.Win32.SODINOKIB.SMTH    
169abe89f4eab84275c88890460a655d647e5966 Ransom.Win32.SODINOKIB.SMTH  
20d90f04dcc07e1faa09aa1550f343c9472f7ec6 Ransom.Win32.SODINOKIB.SMTH    
2a75db73888c77e48b77b72d3efb33ab53ccb754 Ransom.Win32.SODINOKIBI.AUWUJDES
58d835c3d204d012ee5a4e3c05a06e60b4 316d0e Ransom.Win32.SODINOKIB.SMTH    
Ce0c8814d7630f8636ffd73f8408a36dc0e1ca4d Ransom.Win32.SODINOKIB.SMTH

 

Categorias

Veja outras publicações

Menu