Οι hackers που κρύβονται πίσω από το Sodinokibi Ransomware (REvil) άρχισαν να παροτρύνουν τους συνεργάτες τους να αντιγράφουν τα δεδομένα των θυμάτων τους πριν προχωρήσουν σε κρυπτογράφηση των συστημάτων. Τα δεδομένα που κλέβουν θα τα ανεβάζουν σε ένα site για να εκθέσουν τα θύματα που δεν πληρώνουν τα λύτρα.
Το Sodinokibi Ransomware χρησιμοποιείται συχνά ως Ransomware-as-a-Service, όπου οι φορείς του ransomware διαχειρίζονται το portal πληρωμών και την ανάπτυξη του λογισμικού, ενώ οι «συνεργάτες» διανέμουν το ransomware.
Έπειτα, οι hackers και οι συνεργάτες μοιράζονται τα χρήματα που παίρνουν από τα θύματα.
Μετά την ανακοίνωση των φορέων του DoppelPaymer, για δημιουργία ενός site που θα εκθέτει τα δεδομένα θυμάτων, ο εκπρόσωπος του Sodinokibi, Unknown, έκανε μια παρόμοια δήλωση σε ένα ρωσικό hacking forum.
Σύμφωνα με το post, οι hackers του Sodinokibi έχουν δημιουργήσει ένα «blog», στο οποίο θα δημοσιεύουν τα κλεμμένα δεδομένα των θυμάτων που δεν πληρώνουν λύτρα. Ωστόσο, θα κρατούν κάποια στοιχεία, όπως τους αριθμούς κοινωνικής ασφάλισης, για να τα πουλήσουν στο dark web.
Ο Unknown δήλωσε ότι οι εταιρείες που πέφτουν θύμα του Sodinokibi (REvil) έχουν “σοβαρά προβλήματα με το απόρρητο των δεδομένων” και πρέπει να προχωρήσουν γρήγορα σε διαπραγματεύσεις.
Ο Unknown είπε, επίσης, ότι σκέφτεται και άλλους τρόπους για να πιέσει περαιτέρω τα θύματα να πληρώσουν λύτρα.
Μια ιδέα που σκέφτεται είναι να στείλει auto-emails σε χρηματιστηριακές υπηρεσίες, όπως η NASDAQ, για να τις ενημερώσει για τις επιθέσεις στις εταιρείες και να βλάψει, με αυτό τον τρόπο, την αξία των μετοχών τους.
Ακολουθεί το κείμενο, όπως μεταφράστηκε από τα ρωσικά:
“…..Επίσης, ολοκληρώσαμε τις εργασίες μας για ένα blog στο οποίο θα δημοσιεύονται δεδομένα από παραβιασμένα συστήματα. Ζητήσαμε από όλους τους «συνεργάτες» μας να αντιγράφουν δεδομένα, γι’ αυτό είμαστε πεπεισμένοι ότι θα γίνει αποτελεσματική χρήση αυτού του blog. Δεν θα είναι διαθέσιμες όλες οι πληροφορίες….. κάποιες πληροφορίες θα τίθενται προς πώληση…. Τώρα μπορούμε να πούμε με βεβαιότητα ότι όλες οι εταιρείες που έχουν το προϊόν μας έχουν σοβαρά προβλήματα με το ιδιωτικό απόρρητο. Συμβουλεύουμε τις εταιρείες να ξεκινήσουν γρήγορα τις διαπραγματεύσεις, καθώς σχεδιάζουμε να επεκτείνουμε και να βελτιώσουμε αυτό το blog. Σκεφτόμαστε, επίσης να στείλουμε email σε χρηματιστηριακές υπηρεσίες (για παράδειγμα στη NASDAQ) έτσι ώστε να επηρεαστεί άμεσα η οικονομική κατάσταση των εταιρειών.
Τώρα όλα τα δεδομένα θα δημοσιευθούν σε αυτό το blog.
xxx”.
Ο εκπρόσωπος του Sodinokibi δημοσίευσε, επίσης, ένα αρχείο μεγέθους 10MB που περιλαμβάνει οικονομικά και φορολογικά δεδομένα ενός θύματος. Ο Unknown δήλωσε ότι θα προσθέσει περισσότερα δεδομένα στο αρχείο, αν το θύμα δεν πληρώσει τα λύτρα.
Οι επιθέσεις ransomware πρέπει να αντιμετωπίζονται ως παραβιάσεις δεδομένων!
Το έχουμε ξαναπεί. Πλέον, οι ransomware επιθέσεις πρέπει να αντιμετωπίζονται ως παραβιάσεις δεδομένων, αφού όλο και περισσότεροι hackers απειλούν να δημοσιεύσουν τα δεδομένα των θυμάτων.
Τα αρχεία που κλέβουν οι συμμορίες ransomware δεν περιέχουν μόνο στοιχεία της εταιρείας αλλά και προσωπικές πληροφορίες των υπαλλήλων και των πελατών.
Επομένως, οι εταιρείες πρέπει να αναφέρουν πάντα τις ransomware επιθέσεις για να ενημερώνονται όλοι όσοι εμπλέκονται.
 άρχισαν να παροτρύνουν τους συνεργάτες τους να αντιγράφουν τα δεδομένα του){kind=link}