Вымогатель Sodinokibi распространяют через эксплойт-пак RIG

Киберпреступники, стоящие за шифровальщиком Sodinokibi, используют эксплойт-пак RIG для доставки зловреда на целевые машины. Нападающие эксплуатируют баги в браузерах, чтобы скрытно установить полезную нагрузку и заблокировать файлы. ИБ-специалисты пока не нашли способа расшифровать данные, затронутые атакой вымогателя.

Sodinokibi атакует через баги в Internet Explorer Первоначальное заражение происходит через рекламные баннеры в блогах и онлайн-играх. Объявление ведет жертву на криминальный ресурс, который скрытно пытается запустить на компьютере вредоносный скрипт из арсенала RIG. Киберпреступники действуют через Flash-уязвимости в браузерах и в случае успешного взлома отправляют на устройство полезную нагрузку . Нападение не требует взаимодействия с пользователем — он может догадаться об атаке лишь по сообщениям с ошибками, которые выводит Internet Explorer. На первом этапе на машину при помощи вредоносного JavaScript доставляется обфусцированный VBS-сценарий, исполняющий функции загрузчика и установщика для Sodinokibi. Вымогатель скрытно шифрует файлы, после чего устанавливает обои рабочего стола и создает текстовый документ с требованием выкупа. Зловред присваивает инфицированному устройству уникальный идентификатор и добавляет его в качестве расширения ко всем закодированным объектам. О новом векторе атаки рассказал в Твиттере ИБ-специалист с псевдонимом mol69. По мнению эксперта, кампания нацелена на пользователей из Южной Кореи, Малайзии, Вьетнама и других стран Юго-Восточной Азии. Чуть позже аналитик сообщил, что нападения ведутся также через эксплойт-пак Fallout . В сентябре этого года независимый исследователь под ником Security Aura выяснил , что для распространения Sodinokibi киберпреступники применяли оверлеи на страницах взломанных сайтов. По его словам, злоумышленники внедряли в код уязвимого WordPress-ресурса скрипт, который выводил поверх легитимной страницы фрейм с фальшивым интернет-форумом, где одно из сообщений содержало вредоносную ссылку. Для большей убедительности сообщения ветки подбирались с учетом тематики инфицированного сайта.