Uno dei gruppi di ransomware più prolifici e di “successo” del mondo sta ora eseguendo la scansione di reti per verificare la presenza di software per carte di credito e punti vendita (PoS) in quello che sembra essere un ulteriore metodo per guadagnare denaro dagli attacchi.
Sodinokibi – noto anche come REvil – è emerso nell’aprile 2019 ed è diventato oggi una delle famiglie di ransomware più dannose al mondo.
Già un certo numero di organizzazioni di alto profilo sono state colpite e crittografate nelle campagne di Sodinokibi, con gli aggressori che chiedevano il riscatto di centinaia di migliaia – e talvolta milioni – di euro in cambio della chiave di decrittazione.
In una percentuale significativa di casi, la vittima si sente come se non avesse altra scelta che cedere alla domanda per ripristinare la funzionalità.
Ma ora i ricercatori di Symantec hanno individuato un nuovo elemento nei recenti attacchi: gli aggressori scansionano reti compromesse in cerca di software PoS.
È possibile che gli aggressori stiano cercando di raccogliere queste informazioni come mezzo per guadagnare denaro aggiuntivo dagli attacchi, sia utilizzando direttamente le informazioni di pagamento stesse per razziare i conti correnti, sia vendendole ad altri sui forum del dark web.
Non sarebbe la prima volta che gli hacker dietro Sodinokibi hanno cercato di sfruttare i dati che hanno collezionato durante i loro attacchi; insieme al gruppo ransomware Maze, hanno minacciato di rilasciare informazioni rubate alle vittime se non pagano il riscatto – e ora stanno vendendo all’asta al miglior offerente.
“La scansione dei sistemi delle vittime per il software PoS è interessante, dal momento che questo non è in genere qualcosa che si vede accadere insieme agli attacchi ransomware mirati”, hanno scritto i ricercatori Symantec.
“Sarà interessante vedere se questa è stata solo un’attività unica in questa campagna, o se è impostata per essere una nuova tattica adottata da bande di ransomware.”
La nuova tecnica di scansione PoS di Sodinokibi è stata individuata in una campagna rivolta ai settori dei servizi, dell’alimentazione e della sanità. I ricercatori descrivono le due vittime nel settore alimentare e dei servizi come grandi organizzazioni multi-sito che gli aggressori potrebbero considerare in grado di pagare un grande riscatto.
L’organizzazione sanitaria è descritta come molto più piccola e i ricercatori suggeriscono che gli aggressori potrebbero aver scansionato le informazioni di pagamento in questo caso come mezzo per cercare di capire se c’era un altro modo per guadagnare soldi dall’attacco in caso la vittima non avesse pagato.
Qualunque sia la ragione per cui Sodinokibi sta attualmente eseguendo la scansione di informazioni su carte di credito e pagamenti, rimane ancora una forma altamente efficace di ransomware e le aziende ne sono ancora vulnerabili.
“Una cosa che è chiara è che coloro che usano Sodinokibi sono sviluppatori qualificati e non mostrano alcun segno che la loro attività possa diminuire presto”, hanno detto i ricercatori.
Sodinokibi si diffonde sfruttando una vulnerabilità zero-day di Windows che è stata effettivamente corretta nell’ottobre 2018.
Pertanto, uno dei modi migliori in cui un’organizzazione può impedire di cadere vittima di Sodinokibi – e di molti altri attacchi ransomware o malware – è garantire che la rete sia patchata con gli aggiornamenti di sicurezza più recenti per proteggere dalle vulnerabilità note.