Wir unterstützen Browser, keine Dinosaurier. Aktualisieren Sie Ihren Browser, wenn Sie den Inhalt dieser Webseite korrekt anzeigen möchten.

Sie sind nicht sicher, welche Lösung für Ihr Unternehmen am besten geeignet ist?

Was ist die Sodinokibi-Ransomware (REvil)?

Sodinokibi (auch bekannt als REvil oder Ransomware Evil) wurde erstmals 2019 identifiziert und als privates Ransomware-as-a-Service (RaaS)-Projekt entwickelt, welches vermutlich in Russland ansässig ist. Die große Reichweite und Effizienz von Sodinokibi wurde fast sofort deutlich, da sie sich innerhalb der ersten vier Monate zum vierthäufigsten Ransomware-Typ entwickelte.

Der RaaS-Ansatz zur Weitergabe bedeutet, dass viele Personen Zugang zum Code der Ransomware erhalten haben, was zu einer Vielzahl von Varianten und zunehmend aggressiven Angriffen über verschiedene Vektoren, einschließlich Spam und Serverangriffe, geführt hat. Das macht sie zu einer besonders gefährlichen Variante von Ransomware.

Dieser Artikel befasst sich mit den Ursprüngen von Sodinokibi, ihrer Funktionsweise und den Möglichkeiten, wie Sie Ihr Netzwerk davor schützen können.

Testen Sie den Avast Business Hub 30 Tage GRATIS

Alle Unternehmen verdienen Cybersicherheit der Extraklasse. Laden Sie den Avast Business Hub herunter und testen Sie ihn 30 Tage lang risikofrei.

Was ist die Sodinokibi/REvil-Ransomware?

Sodinokibi wird als Ransomware-as-a-Service (RaaS) angeboten, was bedeutet, dass Partnerunternehmen für die Verbreitung der Ransomware genutzt werden und sich im Anschluss Entwickler und besagte Partnerunternehmen das durch Lösegeldzahlungen eingenommene Geld teilen. Sie weist Ähnlichkeiten mit dem bekannten Code der berüchtigten Hackergruppen DarkSide und GandCrab auf, die für bis zu 40 % der weltweiten Ransomware-Infektionen verantwortlich gemacht werden.

Der Virus wird normalerweise über Phishing-Methoden verbreitet, bei denen Nutzer dazu gebracht werden bösartige Dateien zu öffnen, die sich als harmlose E-Mail-Anhänge, Dokumente und Spreadsheets tarnen.

Der Fokus dieser Art von Malware sind High-Profile-Ransomware-Angriffe ransomware attacks gegen große Organisationen und Persönlichkeiten des öffentlichen Lebens mit der Absicht, hohe Lösegeldzahlungen zu erhalten und private Informationen im eigenen Blog zu veröffentlichen. Sodinokibi wurde von Cyberkriminellen genutzt, um:

Wer steckt hinter der Sodinokibi-Ransomware?

Die Herkunft der Urheber der Ransomware ist schwer zu ermitteln. Anfänglich schienen sich die Angriffe auf Asien zu konzentrieren, doch bald tauchten sie auch in Europa auf. Eine Region, die nicht angegriffen wurde, war Russland, was darauf schließen lässt, dass die Malware von dort stammt.

Eine Operation, an der 17 Länder beteiligt waren, führte zur Verhaftung von fünf Verdächtigen im Zusammenhang mit Soninokibi/REvil. Im Januar 2022 haben die Russischen Behörden bekanntgegeben, dass die Gruppe aufgelöst wurde.

Dies ist zwar eine positive Nachricht, bedeutet aber nicht, dass die Bedrohung vorbei ist. Aufgrund der Verbreitungsmethode der Ransomware und der Beziehungen der Urhebers zu anderen Gruppen könnte der Sodinokibi-Code immer noch verwendet oder modifiziert werden, um neue Angriffsvektoren zu erschließen.

Wie funktioniert die Sodinokibi-Ransomware?

Eine der größten Herausforderungen bei der Sodinokibi-Ransomware ist ihre Erkennung. Ein Großteil des Codes ist getarnt oder verschlüsselt, sodass er von Antiviren-Scannern nur schwer identifiziert werden kann. Dies zeigt, wie wichtig es ist, eine mehrschichtige, ganzheitliche Sicherheitsstrategie zu entwickeln, die Schulungen, bewährte Verfahren und Software kombiniert, um potenzielle Bedrohungen so früh wie möglich zu erkennen.

In diesem Abschnitt wird der Angriffsprozess näher beleuchtet, damit Benutzer die Funktionsweise der Ransomware besser verstehen können.

Weitere Informationen über andere bekannte Ransomware-Typen finden Sie in unseren Leitfäden zu Phobos und WannaCry.

1. Initialisierung der Ransomware

Ein Angriff beginnt, indem er sicherstellt, dass er der einzige Prozess ist, der auf dem Zielendpunkt läuft. Anschließend werden Exploits ausgeführt, um Schwachstellen zu ermitteln, die durch die Nichtinstallation von Sicherheitspatches verursacht werden. Sobald dies geschehen ist, ändern diese die Zugriffsrechte, um volle Administratorrechte zu erhalten. Danach startet sie erneut im Admin-Modus.

Im Anschluss wird das System nach Sprachkennungen durchsucht. Der Code enthält eine Ausnahmeliste, die Länder anhand der Gerätesprache identifiziert, damit die Ransomware keine Endgeräte in osteuropäischen Ländern angreift. Anhand dieser Informationen konnten die Ermittler feststellen, dass die Hackergruppe von Russland aus operierte.

Als Nächstes werden die Dateien im Windows-Backup-System (Schattenkopien) gelöscht und der Bootrichtlinien-Editor wird verwendet, um die Wiederherstellungsmodi zu deaktivieren. Das System wird dann nach Backup-Ordnern durchsucht, die gelöscht und überschrieben werden, damit sie nicht wiederhergestellt werden können.

1. Initialisierung der Ransomware

2. Schlüsselgenerierung und -austausch

Die Verschlüsselungsschlüssel werden in Paaren erstellt – einer ist öffentlich zugänglich, der andere befindet sich im Besitz des Angreifers. Ohne diese beiden Schlüssel ist es fast unmöglich, die gestohlenen Daten wiederherzustellen. Sodinokibi verwendet einen Schlüsselgenerierungs- und -austauschalgorithmus, der als Elliptic-curve Diffie-Hellman (ECDH) bekannt ist.

2. Schlüsselgenerierung und -austausch

3. Verschlüsselung

Sodinokibi verwendet zwei Arten der Verschlüsselung:

  • Zur Verschlüsselung des privaten Schlüssels und für die Datenübertragung über Netzwerke wird AES verwendet.
  • Salsa20 wird zum Verschlüsseln von Benutzerdateien verwendet.

Die Dokumente des Benutzers werden aus allen Dateien, die nicht als ausgenommen gekennzeichnet sind, gesammelt und mit Salsa20 verschlüsselt, wobei für jede Datei ein eindeutiger Schlüssel erzeugt wird. Es wird deutlich, welche Dateien verschlüsselt wurden, da die Ransomware jeder betroffenen Datei eine Dateierweiterung hinzufügt.

Der Vorgang bereitet nun die Daten für die Übermittlung an den Server des Angreifers vor.

3. Verschlüsselung

4. Forderungen

Nachdem eine Datei verschlüsselt wurde, wird eine Lösegeldforderung erstellt und in demselben Ordner abgelegt. Dieser Vorgang wird für jeden Ordner mit verschlüsselten Dateien wiederholt. Eine entsprechende Vorlage ist in der Sodinokibi-Ransomware enthalten und wird automatisch mit der ID des Benutzers und anderen relevanten Informationen, einschließlich eines Schlüssels, aktualisiert.

4. Forderungen

Entschlüsselung von Sodinokibi

Die Lösegeldforderung enthält klare Anweisungen, wie die Benutzer ihre Daten wiederherstellen können. Dazu müssen Sie einen TOR-Browser installieren, einen speziellen Link aufrufen und einen Schlüssel eingeben.

Auf dieser Seite werden die Details des Lösegelds präsentiert. Nutzer müssen zahlen, um die Entschlüsselungssoftware herunterzuladen und es wird eine Frist gesetzt. Wenn diese verpasst wird, verdoppelt sich der Preis. Die Zahlung wird in Bitcoins gefordert.

4. Forderungen

Im September 2021 wurde bekannt gegeben, dass Cybersecurity-Firmen und Strafverfolgungsbehörden in den USA einen kostenlosen, universellen Entschlüsselungsschlüssel entwickelt haben, mit dem alle vor dem 13. Juli 2021 angegriffenen Unternehmen ihre Dateien wiederherstellen können. Um Ihre Unternehmensdaten vor weiteren Angriffen zu schützen, ist jedoch ein Tool zum Schutz vor Ransomware unabdingbar, da der Schlüssel bei Verschlüsselungen, die nach diesem Datum stattfinden, nicht mehr garantiert funktioniert.

Schutz vor einem REvil-Angriff

Da es sich um eine so vielseitige und gefährliche Form von Ransomware handelt, müssen geschäftliche Nutzer sicherstellen, dass ihr Netzwerk und ihre Geräte gegen die Bedrohung durch einen Sodinokibi/REvil-Ransomware-Angriff geschützt sind. Zu den wichtigsten Schritten gehören:

  • Regelmäßiges Updaten Ihrer Systeme. Schwachstellen sind ein häufig genutzter Weg, um in Systeme einzudringen. Daher ist es wichtig, dass Patches, Fehlerbehebungen und Updates verwendet werden, sobald diese verfügbar sind.
  • Schulen Sie Ihre Mitarbeiter auf Cybersicherheit. Menschliches Versagen ist der Hauptgrund für Datenlecks. Verhindern Sie dies, indem Sie Mitarbeiter jeder Ebene Ihres Unternehmens schulen. Das Cybersicherheitsquiz und die Lerninhalte von Avast Business helfen, die Grundlagen zum Thema abzudecken und Bereiche zu identifizieren, in denen weitere Schulungen benötigt werden.
  • Erstellen Sie Backups Ihrer Daten. Ransomware-Angriffe zielen darauf ab, Daten zu stehlen und sie an die Besitzer zurück zu verkaufen. Sichere Remote-Backups bedeuten, dass wichtige Daten und Dokumente sicher und zugänglich bleiben, selbst wenn das Schlimmste passiert.
  • Überwachen Sie Zugriffsberechtigungen. Die Zugriffsrechte sollten strikt auf diejenigen beschränkt werden, die direkten Zugang benötigen. Überprüfen Sie die unternehmensweiten Berechtigungen, um sicherzustellen, dass die Administratorrechte auf ein Minimum beschränkt sind. So reduzieren Sie den Zugriff auf Netzwerkkontrollen zu reduzieren, falls ein Benutzerkonto verletzt wird.
  • Verwenden Sie bewährte Sicherheitsverfahren. Um Unternehmensdaten zu schützen ist die Verwendung bewährter Sicherheitsverfahren eine weitere Möglichkeit. Dazu gehören die Notwendigkeit von sicheren Passwörtern sowie ein Verfahren zur Meldung verdächtiger Aktivitäten und Fernarbeitsvereinbarungen, um sicherzustellen, dass die Geräte auf dem neuesten Stand und sicher sind. Als eine Komponente sollten Ransomware-Schutzsoftware und Malware-Scanner auf allen mit dem Unternehmensnetzwerk verbundenen Endgeräten eingesetzt werden, um Ransomware zu erkennen und zu entfernen.
  • Führen Sie regelmäßig Inspektionen und Evaluation von Schwachstellen durch. Die Ereignisprotokolle sollten regelmäßig überprüft werden, damit ungewöhnliche Aktivitäten, z. B. eine hohe Aktivität außerhalb der Geschäftszeiten, schnell erkannt und bewertet werden können.
  • Haben Sie einen Reaktionsplan parat. Katastrophenplanung ist der Schlüssel zum Schutz von Unternehmen – das gilt auch für die digitale Welt. Stellen Sie sicher, dass regelmäßig Übungen zu Angriffen abgehalten werden und dass die Mitarbeiter wissen, an wen sie sich im Falle eines Ransomware-Angriffs wenden müssen. Es sollte auch ein Betriebskontinuitätsplan vorhanden sein, damit das Unternehmen nach einem Angriff weiterarbeiten kann.

Schutz vor Sodinokibi-Ransomware

Die Mitglieder der Gruppe, die hinter der Sodinokibi/REvil-Ransomware steckt, wurden zwar im Januar 2022 festgenommen, aber ihre Malware ist nur eine von vielen. Schützen Sie Ihr Unternehmen vor einer Vielzahl von Angriffen mit dem Avast Business Hub, unserer integrierten, Cloud-basierten Sicherheitsplattform für KMUs.

Schließen

Fast geschafft!

Schließen Sie die Installation ab, indem Sie auf die heruntergeladene Datei unten klicken und den Anweisungen folgen.

Download wird vorbereitet...
Hinweis: Falls Ihr Download nicht automatisch startet, klicken Sie bitte hier.
Klicken Sie auf diese Datei, um die Installation von Avast zu starten.