Ferramentas e táticas usadas pelo Sodinokibi Ransomware

Sodinokibi RansomwareSeus pesquisadores McAfee queria estudar as ferramentas e táticas usadas pelos hackers por trás dele Sodinokibi Ransomware infectar os sistemas de suas vítimas. Para esse fim, eles criaram uma rede honeypots.

Os hackers por trás do ransomware são divididos em grupos, que têm nomes diferentes. Isso mostra quem influenciou o sistema da vítima e quem deve ser pago.

Essa segregação de grupos ajudou os pesquisadores a monitorar seu comportamento e entender como eles atacam as vítimas e se espalham pela rede.

Acompanhamento de criminosos

A equipe de pesquisa da McAfee usou um Rede de honeypots do Protocolo de Área de Trabalho Remota Mundial (RDP) monitorar as atividades dos três grupos.

Os grupos por trás do Sodinokibi Ransomware são chamados Grupo 1, afiliado nº 34 e afiliado nº 19. Todos os três grupos violaram os sistemas via RDP e depois tentaram invadir o resto da rede.

Os pesquisadores notaram que os três grupos estavam tentando obter acesso ao resto da rede, usando ferramentas de verificação de porta para localizar servidores RDP acessíveis. Então eles usaram ferramenta de força bruta, NLBrute RDP, para obter acesso aos servidores.

Os grupos 34 e 19 usaram técnicas mais especializadas para realizar ataques. Por exemplo, eles usaram Arquivos em lote de imitação por roubar credenciais e realizar outras atividades ilegais.

Os hackers do grupo nº 19 parecem ter mais potencial. Os hackers tentaram usar explorações locais para obtê-las acesso de administrador em computadores comprometidos. O acesso a uma conta de administrador é muito importante para os hackers, pois eles podem afetar mais facilmente os sistemas na rede.

Os pesquisadores também notaram que o grupo 34 estava tentando instalar criptografia cargas úteis (MinerGate e XMRig), além do Sodinokibi Ransomware.

A McAfee conseguiu localizar o endereço de email de um dos hackers.

“Com base em nossa análise, essa pessoa provavelmente é membro de uma equipe que rouba credenciais e outros tipos de dados”. Esses dados são usados ​​para realizar ataques de força bruta.

Use Tudo para localizar documentos

A equipe 34 aproveitou isso para seus próprios propósitos Tudo localizando software.

Tudo ajuda a encontrar fácil e rapidamente arquivos e pastas no seu computador usando apenas uma palavra-chave. Além disso, o conteúdo pode ser pesquisado nos arquivos.

Pesquisadores da McAfee não conseguiram encontrar os hackers exatos. No entanto, eles perceberam que os hackers haviam pesquisado os arquivos nos computadores das vítimas.

Pesquisadores acreditam que hackers eles instalaram o software Everything para procurar facilmente arquivos confidenciais.

Os hackers encontraram os arquivos importantes, roubaram-nos e depois exigiram dinheiro dos autores.

Usar o software Everything em ataques de ransomware é uma tática muito interessante. As empresas precisam estar vigilantes, pois o roubo de dados é um dos ataques mais comuns atualmente.