Sodinokibi/REvil Ransomware erklärt
Netzwerke von Cyberkriminellen, die oft als "Ransomware-Familien" bezeichnet werden, sind in den letzten Jahren immer raffinierter geworden. Eine Ransomware-Familie, die entweder als "Sodinokibi" oder "REvil" bekannt ist, hat sich mit ihrem "Ransomware-as-a-Service"-Modell (RaaS) einen Namen gemacht, um sowohl große Unternehmen als auch Privatpersonen anzugreifen.
Je komplizierter diese Ransomware-Operationen werden, desto schwieriger ist es, die verantwortlichen Personen aufzuspüren. Deshalb sind Cybersicherheitsdienste wie Mimecast so wichtig. Sie bieten die Tools und Partnerschaften, die für den Schutz vor fortschrittlichen cyberkriminellen Netzwerken und ihrer wachsenden Liste von Techniken und Exploits erforderlich sind.
Was ist Ransomware-as-a-Service?
Das RaaS-Modell funktioniert über ein bereits bestehendes Netzwerk von cyberkriminellen Akteuren. Die Vertreiber entwickeln die Malware so, dass sie so zerstörerisch wie möglich arbeitet und geben diese Software dann an "Partner" weiter. Diese Affiliates führen dann den eigentlichen Ransomware-Angriff durch.
In der Regel erhalten die Affiliates Zugang zu der Malware über abonnementbasierte Dienste, die einen monatlichen Anteil für Distributoren und Affiliates beinhalten, oder sie erwerben eine einmalige Lizenz von den Entwicklern, ähnlich wie viele kommerzielle Softwareplattformen funktionieren.
Der Vorteil dieses Modells ist, dass das Aufspüren der Quelle der Malware und das Verfolgen der cyberkriminellen Angreifer zu einer doppelten Aufgabe wird. Selbst wenn Sie die Affiliates finden, führt ihre Spur nicht unbedingt zu den Entwicklern der Software und andersherum.
Wie funktioniert die Sodinokibi-Ransomware?
Die Sodinokibi/REvil-Ransomware-Familie nutzt eine Vielzahl von Angriffsvektoren, indem sie RDP-Angriffe, Software-Schwachstellen und die menschliche Anfälligkeit für Phishing-Angriffe und E-Mail-Betrug ausnutzt.
Sobald die Sodinokibi/REvil-Partner einen Weg gefunden haben, ihre Dateien auf Ihrem System zu installieren, verschlüsseln sie Ihre Dateien und alle vorhandenen Backups, die sie in Ihrem Netzwerk finden. Sie erhalten dann eine Nachricht, in der Sie um eine Bitcoin-Zahlung im Austausch für Ihre fehlenden Dateien gebeten werden.
Wenn Sie Opfer eines Angriffs werden, sollten Sie nicht mit Ihren Angreifern verhandeln. Es gibt keine Garantie dafür, dass Sie Ihre Daten erhalten, und selbst wenn dies der Fall ist, gibt es nichts, was diese Cyberkriminellen davon abhält, Kopien Ihrer privaten Daten an andere Kriminelle zu verkaufen.
Was ist Sodinokibi/REvil Ransomware?
Sodinokibi Ransomware ist eine besondere Ransomware-as-a-Service-Operation, die um 2019 in Russland oder Osteuropa entstanden zu sein scheint. Das Ziel dieser Ransomware-Familie scheint explizit monetär zu sein, da ihre allgemeine Funktionsweise darin besteht, private Informationen oder Unternehmensdaten zu sammeln und damit zu drohen, diese Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Seit der Gründung der Familie haben sie große Unternehmen wie Apple angegriffen und auch Prominente und Politiker wie Madonna und ehemalige US-Präsidenten ins Visier genommen.
Es gibt jedoch einige Zweifel, ob die Gruppe noch aktiv ist. Seit Juli 2021 sind alle bekannten Sodinokibi/REvil-Ransomware-Websites inaktiv. Diese Inaktivität ist zwar vielversprechend, aber diese Funkstille ist keineswegs ein Garant dafür, dass die Gruppe ihre Aktivitäten vollständig eingestellt hat. Es könnte bedeuten, dass sie schwieriger zu finden sind.
Wie kann ich mich vor REvil/Sodinokibi schützen?
Der beste Weg, sich vor REvil/Sodinokibi Ransomware zu schützen, ist ein mehrgleisiger Ansatz, der Sicherheitsbewusstsein, E-Mail-Scans und Audits Ihrer aktuellen Cybersicherheitsmaßnahmen umfasst.
Zum Sicherheitsbewusstsein gehört, dass Sie Ihre Mitarbeiter darin schulen, mögliche Phishing-Betrügereien und fehlerhafte E-Mail-Anhänge zu erkennen. Dies sollte immer die erste Verteidigungslinie für Unternehmen sein, denn Phishing und E-Mail-Betrug sind die häufigsten Angriffsvektoren für Ransomware-Kriminelle, einschließlich Familien wie Sodinokibi.
Cybersecurity-Experten wie Mimecast bieten Schulungen zum Sicherheitsbewusstsein, E-Mail-Scans und Cloud-basierte Wiederherstellungsarchive an, so dass Sie sich, selbst wenn Sie von einem Ransomware-Angriff betroffen sind, nicht von Cyberkriminellen abhängig machen müssen, um Zugang zu privaten Daten zu erhalten.
Bleiben Sie auf dem Laufenden über Sodinokibi und andere Ransomware-Familien
Ganz gleich, ob es sich um Sodinokibi Ransomware oder ein anderes Ransomware-Netzwerk handelt, Sie und Ihr Unternehmen müssen für den Umgang mit Cybersecurity-Angriffen gerüstet sein. Andernfalls ist das Risiko dieser Angriffe so groß, dass Sie Ihre gesamte IT-Infrastruktur sowie alle privaten Informationen, die Sie in Ihrem IT-Netzwerk gespeichert haben, verlieren könnten.
Mimecast bietet Ihnen alle notwendigen Tools, um diese Vorfälle zu verhindern. Sie rüsten Sie und Ihr Team auch mit dem Wissen und den Mitteln aus, um mit Angriffen umzugehen, sollten diese auftreten.
Erfahren Sie mehr darüber, wie Mimecast Ihrem Unternehmen helfen kann, und arbeiten Sie noch heute mit Mimecast zusammen, um sich vor Ransomware zu schützen.
