Sodinokibi Ransomware

13_Sodinokibi.jpg

Was ist Sodinokibi?

Bei Sodinokibi auch bekannt als Sodin und REvil handelt es sich um eine recht neue Ransomware, die Cyberkriminelle auf unterschiedlichen Wegen in Umlauf gebracht haben. Sobald der Verschlüsselungstrojaner aktiviert wurde, werden relevante Daten auf den Rechnern der betroffenen Personen verschlüsselt. Die Angreifer fordern von ihren Opfern ein hohes Lösegeld um die verschlüsselten Daten wieder zu entschlüsseln. Das tückische an dieser Sodinokibi Ransomware ist, dass anders als bei gängigen Ransomware-Familien keine Benutzerinteraktion (wie z.B das Öffnen eines E-Mail Anhangs oder eines schädlichen Links) benötigt wird um die Schadsoftware zu aktivieren.

Wie genau das funktioniert und welche weiteren Methoden von den Erpressern genutzt werden um Sodinokibi zu verbreiten, erfahren Sie in diesem Beitrag. Außerdem erhalten Sie von uns die wichtigsten Tipps um sich vor Ransomware-Attacken wie Sodinokibi schützen zu können!

Verbreitung von Sodinokibi

Cyberkriminelle nutzen unterschiedliche Methoden um Ihre Schadsoftware auf den Systemen ihrer Opfer zu platzieren. Neben klassischen Fake E-Mails, bei denen die Nutzer dazu verleitet werden sollen verdächtige Dokumente im E-Mail Anhang zu öffnen, nutzen die Angreifer bei der Platzierung von Sodinokibi noch zusätzliche Maßnahmen um die Schadsoftware zu aktivieren und die betroffenen Personen zu erpressen. Die verschiedenen Wege und Sicherheitslücken, welche die Täter dabei nutzen, werden detaillierter vorgestellt.

Zero-Day-Windows-Sicherheitslücke 

Sodinokibi ist erstmalig schon im Jahr 2018 aufgetreten. Cyberkriminelle haben eine Schwachstelle der Win32k-Komponente unter den Server-Editionen Windows 7 bis 10 ausgenutzt und ihre Schadsoftware auf den Rechnern platziert. Dazu verwendet die Malware auch einen Exploit für die Windows Sicherheitslücke CVE-2018-8453. Die Ransomware benötigt keine Benutzerinteraktion, weil die Angreifer die anfälligen Server attackieren und ihnen den Befehl geben die schädliche Datei lokal zu speichern und auszuführen. Während ein Großteil der gängigen Sicherheitslösungen bekannte Ransomware-Versionen und etablierte Angriffsmethoden erkennt, ist Sodinokibi sehr anspruchsvoll und wird von vielen Security-Lösungen nicht erkannt.

Dabei nutzt die Schadsoftware die sogenannte „Heaven’s Gate“-Technik, wodurch die Ransomware schwer zu identifizieren ist. Bei dieser Technik wird ein 64-Bit-Code in einem 32-Bit-Prozessadressraum ausgeführt. Diese Technik wird äußerst selten verwendet und stellt keine alltägliche Praxis dar im Rahmen von Ransomware-Attacken. Des Weiteren nutzt Sodinokibi die Architektur der Central Processing Unit (CPU), um eine Erkennung zu vermeiden. Über eine legitime Prozessorfunktion kann die Ranswomware Sicherheitslösungen unter Windows umgehen.

Schwachstelle im Oracle Weblogic Server 

Neben einer Sicherheitslücke von Windows Servern haben die Angreifer eine weitere Möglichkeit gefunden die Rechner ihrer Opfer mit Sodinokibi zu infizieren. Die Cyberkriminellen nutzen eine Schwachstelle im Oracle Weblogic Server aus. Die Sicherheitslücke CVE-2019-2725 wurde Anfang 2019 erstmalig von Angreifern dazu genutzt, um Ihre Schadsoftware zu platzieren. Der Oracle Weblogic Server ist ein populärer Anwendungsserver zur Erstellung und Bereitstellung von Java-EE-Anwendungen für Unternehmen. Die Schwachstelle des Servers ist für Angreifer leicht ausnutzbar, da jeder mit HTTP-Zugriff auf den WebLogic-Server eine Cyberattacke durchführen kann. Zudem kommt in dem Fall erschwerend dazu, dass genauso wie bei der Windows Zero-Day Schwachstelle keine Benutzerinteraktion erforderlich ist, um die Ransomware zu aktivieren. Die betroffenen Server werden dazu aufgefordert Sodinokibi herunterzuladen, lokal abzuspeichern und auszuführen.

Sodinokibi getarnt in Bewerbungsunterlagen

Cyberkriminelle nutzen beim Verbreiten von Schadsoftware unterschiedliche Methoden um ihre Schadsoftware zu verbreiten. Während anfällige Server oder Applikationen durch Security Patches der jeweiligen Hersteller geschlossen werden können, ist das Risiko "Mensch" weiterhin eine Lücke die gerne von Angreifern ausgenutzt wird. Seit dem 16. Juli 2019 verschicken Angreifer entsprechende E-Mails an Personalabteilungen getarnt als Bewerbungsunterlagen. Sobald der E-Mail Anhang geöffnet wird, aktiviert sich die Ransomware. Die Angreifer nutzen dabei die gleiche Methodik wie die bereits bekannte Ransomware GandCrabMehr Infos zu GandCrab

Gefakte E-Mails vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Cyberkriminelle getarnte E-Mails oder Webseiten dazu nutzen um persönliche Schadsoftware zu verbreiten ist nicht neu. Aktuell sind die Angreifer allerdings besonders einfallsreich um Ransomware zu verteilen. Die Täter verschicken im Namen des BSI E-Mails, in denen auf einen Datenmissbrauch hingewiesen wird. Zudem enthalten die Mails eine angehängte Datei, die mit dem Schadcode infiziert ist.

Das BSI rät per Twitter Post vom 24.07.2019 dazu E-Mails vom Absender "Meldung@bsi-bund.org" sofort zu löschen und den Anhang auf keinen Fall zu öffnen. Andernfalls wird die Ransomware Sodinokibi sofort aktiviert und die Systeme werden verschlüsselt.

Quellen:
https://www.heise.de/security/meldung/Aktuelle-Spam-Mails-verteilen-Ransomware-im-Namen-des-BSI-4479220.html

https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html 

Top 5 Tipps zum Schutz vor Sodinokibi

Wie Sie sich vor der Ransomware  Sodinokibi (Sodin oder REvil) schützen können, erfahren Sie in unseren fünf Tipps gegen Ransomware.

1. Regelmäßige Security Patches durchführen

Die Sicherheitslücken von Windows Zero-Day und Oracle Weblogic sind ein gutes Beispiel dafür, dass Cyberkriminelle ohne die Interaktion eines Benutzers die Systeme mit Sodinokibi infizieren können. Die Hersteller bemühen sich deshalb kritische Schwachstellen möglichst schnell mit Patches zu schließen. Für IT-Verantwortliche ist es gerade deswegen umso wichtiger nicht allzu lange zu zögern die relevanten Sicherheitsupdates zu installieren um nicht weiterhin den Cyberkriminellen die Chance zu geben die Sicherheitslücken auszunutzen.

Hier geht es zum Windows Security Patch: Microsoft CVE-2018-8453 Security Patch
Hier geht es zum Oracle Weblogic Patch: Oracle CVE-2019-2725 Weblogic Security Patch

2. Security Awareness bei den Mitarbeitern schaffen 

Schwachstellen in Systemen oder Applikationen werden auch in Zukunft weiterhin ein Angriffsziel für Cyberkriminelle darstellen. Dennoch ist der Mitarbeiter sehr häufig das größte Sicherheitsrisiko in jeder IT-Sicherheitsstrategie (siehe aktuelle Logicalis CIO Survey 2019). Umso wichtiger ist es, dass Sie Ihre Mitarbeiter im Unternehmen für das Thema IT-Sicherheit sensibilisieren.Schulungen für die Kollegen helfen dabei, die Aufmerksamkeit für verdächtige E-Mails und Angriffsversuche zu stärken und das Risiko Opfer von Cyberattacken zu werden zu minimieren.

3. Kommen Sie den Forderungen der Erpresser nicht nach 

Nachdem die Angreifer eine Cyberattacke erfolgreich durchgeführt haben, erpressen sie ihre Opfer mit einem hohen Lösegeld. In der Verzweiflung wissen die geschädigten Personen nicht weiter und kommen den Forderungen nach, um endlich Zugang zu den verschlüsselten Daten zu bekommen. Das kritische dabei ist, dass Sie im Ungewissen darüber sind ob die Kriminellen Sie nicht erneut erpressen und Ihr System nun endgültig vom Schädling befreit ist. Lassen Sie sich stattdessen im Falle eines erfolgreichen Angriffs von IT-Sicherheitsspezialisten beraten.

4. Nutzen Sie Next Generation Security-Lösungen

Der Grund weshalb Hacker häufig erfolgreiche Cyberangriffe durchführen können, liegt am Einsatz von veralteten Antivirus-Lösungen. Die Problematik der herkömmlichen Sicherheits-Software liegt darin, dass nur bekannte Schadsoftware identifiziert und eliminiert werden kann. Die Angreifer entwickeln ihre Attacken stetig weiter sodass gängige Programme die Malware nicht als Schädling erkennen. Bei neuartiger Ransomware wie GandCrab und Sodinokibi sollten Sie deshalb auf Next Generation Security Software setzen. Der Vorteil dieser Lösungen liegt darin, dass diese Anomalien analysieren und auch innovative Cyberangriffe erkennen. Dadurch wird ein umfangreicher Schutz Ihres Systems gewähr leistet.

5. Erstellen Sie ein gutes Backup- und Recovery-Konzept

Es kann durchaus vorkommen, dass Sie trotz aller IT-Sicherheitsmaßnahmen Opfer eines Cyberangriffs werden. Bei einer Infektion mit Ransomware wie Sodinokibi oder GandCrab sollten Sie den Schaden so gering wie möglichst halten. Da es sich bei den verschlüsselten Dateien häufig um geschäftskritische Daten handelt, sollten Sie über eine ausgereifte Backup-Strategie verfügen. Verlorene Daten könnten dadurch wiederhergestellt werden. Erstellen Sie deshalb regelmäßig Backups ihrer Dateien um sich vor Attacken wie Sodinokibi oder anderer Ransomware zu wappnen.


Nun sollten Sie ein gutes Bild über die Ransomware Sodinokibi (Sodin bzw. REvil) haben. Mit unseren Tipps können Sie sich nun vor dem Schädling und anderen Cyberbedrohungen schützen. Wenn Sie weitere Fragen haben rund um das Thema Informationssicherheit oder wie Sie Ihr Netzwerk vor Angriffen bewahren können, dann nehmen Sie gerne Kontakt mit uns auf. Unsere IT-Security Experten beraten Sie gerne!