O Sodinokibi foi responsável por vários ataques notáveis no ano passado. Nesta introdução, descrevemos seu processo de invasão usando alguns dos exemplos que encontramos.

O Sodinokibi foi detectado pela primeira vez em abril de 2019 e vinculado ao já aposentado GandCrab. Desse ponto em diante, a ameaça lançou uma série de ataques a alvos visados que continuaram ao longo de 2020, tornando-se uma das famílias de ransomware que deve ser observada. Aqui, descrevemos um processo de ataque típico.

Análise técnica

Os agentes de ameaça por trás do Sodinokibi normalmente contratam uma variedade de afiliados para seu acesso inicial. Seus ataques geralmente começam com técnicas familiares, como e-mails malspam com links ou anexos de spear phishing, acesso RDP que usa contas válidas, sites comprometidos e explorações. Eles também usam técnicas que indicam sua abordagem direcionada.

Acesso inicial

Observamos o uso de várias dessas técnicas de acesso inicial. Por exemplo, como acontece com as campanhas, vimos o uso da vulnerabilidade CVE-2019-2725 e observamos uma instância em que o Sodinokibi foi carregado na memória do PowerShell por meio de carga reflexiva em vez de execução binária. Também notamos malspam (ou spam malicioso) que levou ao uso de uma macro para baixar e executar o malware.

CVE-2018-13379 e CVE-2019-11510 também são usados pelo malware, bem como contas válidas comprometidas. Isso permite que os agentes da ameaça descartem e executem outros componentes, como antivírus, ferramentas de exfiltração e, finalmente, o próprio Sodinokibi.

Movimento lateral e táticas de evasão

O Sodinokibi, como muitas famílias de ransomware conhecidas hoje, tem uma abordagem direcionada em relação às suas campanhas. Como evidência disso, observamos o uso de RDP e PsExec para movimento lateral — um sinal de ataques direcionados — para introduzir e executar outros componentes e o próprio ransomware.

Também observamos que o PC Hunter e o Process Hacker são usados para encerrar serviços ou processos, especialmente os serviços e processos relacionados ao software antivírus.

Assim que o sistema é infectado, o Sodinokibi envia um relatório e informações do sistema para seu servidor de comando e controle (command-and-control ou C&C). Ele gera uma URL pseudo-aleatória com base em um formato e geração fixos para adicionar a uma lista de domínios em sua configuração.

Recomendações de segurança 

O Sodinokibi é conhecido por ter como alvo entidades de alto perfil e usar táticas evasivas notáveis. As organizações devem, portanto, ser cautelosas com suas técnicas. Por enquanto, aqui estão algumas práticas recomendadas para evitar ataques de ransomware semelhantes:

•         Evite abrir e-mails não verificados ou clicar em seus links incorporados, pois eles podem iniciar o processo de instalação do ransomware.
•         Faça backup de seus arquivos importantes usando a regra 3-2-1: Crie 3 cópias de backup em 2 formatos de arquivo diferentes, com 1 dos backups em um local separado.
•         Atualize software, programas e aplicações regularmente para garantir que suas aplicações estejam atualizadas, com as proteções mais recentes contra novas vulnerabilidades.

Se você acredita que sua organização foi afetada por esta campanha, visite esta página para ver as soluções Trend Micro disponíveis que podem te ajudar a detectar e mitigar quaisquer riscos que esta possa estar trazendo à sua empresa.

Indicadores de comprometimento (IOCs)