Ransomware Sodinokibi (REvil) tiene una nueva táctica para extraer dinero de las víctimas

El grupo detrás de uno de los más exitosos. ransomwarea ahora escanea las redes de las compañías para encontrar datos en tarjetas de pago, pagos y software de terminal PoS, lo que le permite ganar dinero extra del ataque.

Sodinokibi, también conocido como REvil, apareció en abril de 2019 y es uno de los ransomware más peligrosos actualmente en boga.

Los objetivos del ransomware Sodinokibi fueron las computadoras de varias compañías, y los atacantes exigieron rescates que van desde varios cientos de miles hasta varios millones de dólares a cambio de claves de descifrado.

En un porcentaje significativo de casos, la víctima siente que no tiene más remedio que cumplir con la solicitud de recuperar los archivos cifrados.

Pero los investigadores de la compañía. Symantec Recientemente notaron un nuevo elemento en los ataques de este ransomware: los atacantes escanean redes comprometidas en busca de software PoS.

Es posible que los atacantes puedan usar esta información como un medio para ganar dinero extra del ataque, ya sea para usar directamente los datos de pago en sí mismos para entrar en cuentas, o para venderlos a otros delincuentes en foros cibernéticos.

Esta no sería la primera vez que los piratas informáticos detrás de Sodinokibi han estado buscando una forma de utilizar los datos que comprometieron en el ataque. Amenazaron con publicar información robada de las víctimas si no pagaban el rescate, pero también con venderla a quienes tienen la mejor oferta.

“Buscar software PoS en los sistemas de las víctimas es interesante porque generalmente no ocurre además de los ataques de ransomware dirigidos”, dicen los investigadores de Symantec, y agregan que será interesante ver si esto fue solo una actividad oportunista en esta campaña o una nueva táctica. han adoptado grupos que distribuyen ransomware.

Se ha observado una nueva técnica para escanear software PoS en ataques a compañías que ofrecen servicios, productos alimenticios y en el sector de la salud. Los investigadores describen a las dos víctimas de tales ataques como grandes compañías que los atacantes aparentemente consideran capaces de pagar un gran rescate.

La organización de salud atacada de esta manera ha sido descrita como una compañía mucho más pequeña y los investigadores dicen que los atacantes podrían haber buscado información de pago en este caso para ver si era posible ganar dinero de otra manera si la víctima no pagaba.

Cualquiera sea la razón por la que Sodinokibi ahora escanea la información de la tarjeta de crédito y la información de pago, sigue siendo un ransomware muy eficiente.

Los investigadores dicen que está claro que quienes están detrás del ransomware son muy hábiles y no creen que su actividad disminuya pronto.

Sodinokibi se está expandiendo mediante el uso de una vulnerabilidad de Windows que se corrigió en octubre de 2018. Por lo tanto, una de las mejores formas en que las empresas pueden prevenir un ataque es el ransomware Sodinokibi, pero también muchos otros ransomware o malware para proteger dispositivos y redes con las últimas actualizaciones de seguridad conocidas. vulnerabilidades