Ransomware Sodinokibi: Cos’è, Come Funziona E Come Decriptarlo

Scopri l’ultima guida di HelpRansomware sul ransomware Sodinokibi: cos’è, come funziona e come decriptare il virus.

Cos’è il ransomware Sodinokibi?

Sodinokibi, conosciuto anche come REvil, è un ransomware molto potente che attacca i dispositivi crittografando i file degli utenti.

Come tutti i ransomware, chiede un riscatto in cambio dei dati, che si aggira intorno agli 0,5 bitcoin, circa 4000 dollari.

Stando al report della IBM, gli hacker dietro il ransomware Sodinokibi, nel 2020, hanno guadagnato 123 milioni di dollari, rubando circa 21,6 terabyte di dati.

Come riportato anche dall’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Service Agency), uno degli attacchi più prolifici ha colpito quest’estate l’azienda di software Kaseya.

Alla società sono stati chiesti 70 milioni di dollari in bitcoin per la chiave di decrittazione e la promessa di non pubblicare i dati sottratti.

Di solito, infatti, il mancato pagamento del riscatto comporta l’impossibilità di recuperare i file crittografati: i dati vengono distrutti o bloccati in maniera permanente.

In generale è difficile accorgersi di essere stati colpiti da un ransomware e, quando ci si riesce, è già troppo tardi.

Un sintomo dell’avvenuto attacco è l’impossibilità di aprire i file presenti sul tuo dispositivo.

D’altra parte, è probabile che questi documenti, foto, ecc. presentino un’estensione diversa, ad esempio my.docx.locked.

Chi c’è dietro al ransomware Sodinokibi?

Scoprire chi si nascondesse dietro il ransomware Sodinokibi non è stato semplice e questa domanda non ha ancora una risposta unica.

Maggiori informazioni su REvil sono disponibili da gennaio 2020, quando si sono unite le forze di diversi specialisti di cybersecurity e forze dell’ordine.

Infatti, come sottolinea il Segretario Generale dell’INTERPOL, Jürgen Stock:

“Questo ransomware è diventato una minaccia troppo grande perché qualsiasi entità o settore possa affrontarlo da solo; la grandezza di questa sfida richiede urgentemente un’azione globale.”

Un’indagine coordinata dell’INTERPOL con altre forze investigative ha portato all’arresto di molti hacker responsabili di attacchi ransomware Sodinokibi.

Si pensa che gli autori del virus siano di origine russa e che abbiano un collegamento con i creatori del ransomware GandCrab.

Questo dato è stato confermato da uno dei primi gruppi hacker, chiamato Lalartu, responsabile di svariati crimini informatici.

Il problema principale del ransomware Sodinokibi, però, è che utilizza la tecnologia Raas; ciò significa che viene continuamente sviluppato con nuove versioni derivate e configurazioni diverse.

Per esempio, a luglio è stato sferrato un attacco che ha coinvolto oltre 1500 affiliati, colpendo più di 1000 imprese allo stesso tempo.

Le indagini hanno dimostrato che alcuni gruppi hacker si nascondono addirittura all’interno di banali siti WordPress.

In alternativa, sono raggiungibili attraverso il protocollo XMPP, un servizio di messaggistica istantanea, che permette l’utilizzo di un canale sicuro.

Come funziona il ransomware Sodinokibi?

Come accennato prima, il ransomware Sodinokibi funziona come un ransomware-as-a-service (Raas).

Questa modalità di diffusione del malware prevede la presenza di due gruppi che collaborano delle attività di hacking.

Da una parte ci sono gli sviluppatori del codice del ransomware; dall’altra gli affiliati, che scelgono gli obiettivi da colpire e sono responsabili della diffusione del virus e del riscatto.

Ecco alcuni dei metodi più comuni con i quali il ransomware Sodinokibi viene distribuito:

• Attacchi di forza bruta;
• Campagne di phishing, attraverso allegati email infetti;
• Siti web torrent;
• Malvertising.

Un altro metodo molto comune prevede di utilizzare exploit che sfruttano le vulnerabilità dei server, come avvenuto con Oracle WebLogic.

Il virus è in grado di aggirare il software antivirus ed entrare così nel dispositivo.

Una volta entrato, il ransomware Sodinokibi scarica un file .zip con il codice di riscatto; successivamente, si muove nella rete per crittografare i file, ai quali aggiunge un’estensione casuale.

Così appare la schermata di un computer infetto da REvil.

Invece di inserire le istruzioni nel testo della richiesta di riscatto, i criminali dietro Sodinokibi indirizzano gli utenti verso due siti Web:

• Un sito .onion ospitato sul software libero TOR;
• Un sito che si trova nella parte pubblica del web, registrato con il dominio “decryptor”.

Il ransomware Sodinokibi può anche modificare le impostazioni del sistema operativo in modo da reindirizzare il traffico Internet su un server controllato dagli hacker.

Così facendo, si comporterà come uno spyware, consentendo ai criminali di spiare le attività della vittima.

Questo comportamento, insieme alla raccolta dei dati, rende Revil Sodinokibi una minaccia molto pericolosa.

Il ransomware Sodinokibi può rubare dati?

Sì, a differenza del ransomware Phobos il ransomware Sodinokibi può rubare dati.

Una delle tecniche utilizzate dagli hacker è rubare dati alle vittime prima di crittografare i dispositivi; i file rubati verranno poi utilizzati a vantaggio dei criminali per estorcere il riscatto.

Il virus entra all’interno del dispositivo e inizia a installare diversi trojan per consentire agli hacker di agire da remoto.

Contemporaneamente, il ransomware va alla ricerca di informazioni e blocca i file con la crittografia.

Aprire i file criptati è un’operazione molto difficile che richiede competenze specifiche in ambito di sicurezza informatica e decrittazione.

Rivolgiti agli specialisti di HelpRansomware per risolvere il problema in maniera rapida e sicura.

Come decriptare il ransomware Sodinokibi?

In precedenza ti abbiamo fornito una guida con gli strumenti di decrittazione dei ransomware.

In questo caso, però, devi considerare che la rimozione manuale potrebbe essere un processo lungo e complicato.

Di recente Bitdefender ha pubblicato uno strumento di decrittazione universale scaricabile gratuitamente.

Lo scopo è aiutare le vittime del ransomware Sodinokibi a recuperare i propri file crittografati.

Il decrypter è stato sviluppato insieme alle forze dell’ordine e questo ne conferma l’efficacia.

Tuttavia, questo strumento funziona soltanto con i file crittografati prima del 13 luglio 2021.

Per essere sicuri di eliminare il problema alla radice e riuscire a recuperare i file crittografati, l’opzione migliore è rivolgersi a degli specialisti.

Contatta HelpRansomware per ricevere una prima valutazione gratuita del ransomware:

• Interrompi immediatamente la comunicazione con l’hacker e invia la richiesta di riscatto e un file infetto a uno dei nostri esperti;
• L’attacco ransomware viene identificato e analizzato; sulla base di ciò, si stimano i costi e i tempi del processo di recupero;
• Si inizia il processo di decrittazione dei dati, con un servizio garantito al 100%;
• I tuoi file verranno recuperati e consegnati in tempi brevi

L’azienda si dedica esclusivamente alla sicurezza informatica da oltre 28 anni ed è leader mondiale in questo settore.

Avere al tuo fianco degli specialisti è fondamentale con un ransomware così aggressivo.

Gli hacker dietro il ransomware Sodinokibi, infatti, puniscono chiunque provi a rimuovere il virus dal proprio computer.

La serietà delle loro minacce si vede nel fatto che spesso hanno pubblicato online i dati delle vittime, per mettere in guardia gli altri contro qualsiasi tentativo di rimozione del malware.

Per questa ragione, devi sempre considerare che la miglior risposta ad un attacco ransomware è l’atteggiamento proattivo.

Prendi delle misure per prevenire gli attacco ransomware, così da proteggere il tuo computer e la tua privacy.

Devo pagare il riscatto del ransomware Sodinokibi?

No, non devi mai pagare il riscatto del ransomware Sodinokibi.

Inutile fare giri di parole, non bisogna mai pagare il riscatto.

Denuncia l’attacco alla Polizia di Stato e rivolgiti immediatamente agli specialisti di HelpRansomware per ripristinare i file criptati.

Pagare il riscatto dovrebbe essere l’ultima opzione a cui pensi, perché è solo un modo per incoraggiare gli hacker ad agire in modo aggressivo.

Inoltre, il ransomware Sodinokibi presenta una particolare modalità di azione detta doppia estorsione.

Questo metodo è stato introdotto dai creatori del ransomware Maze; poi, è stato sfruttato anche da altri malware come Sodinokibi, DoppelPaymer e Nemty.

La doppia estorsione forza la vittima a pagare il riscatto anche se questa dispone di un backup utilizzabile.

Come abbiamo accennato prima, i dati estratti dalla prima cifratura vengono rubati ed esposti su un sito pubblico o sul Dark Web.

Così facendo, gli hacker spingono la vittima a pagare il riscatto per evitare la divulgazione di informazioni personali.

Tale minaccia ha un forte impatto sia sul singolo che sulle aziende.

Non a caso, il settore più colpito dal ransomware Sodinokibi è quello dei servizi finanziari, che conservano informazioni bancarie dei propri utenti.

Al secondo posto ci sono le industrie manifatturiere, prese di mira soprattutto per i brevetti.

Conclusioni

Queste sono le conclusioni che puoi trarre dal nostro articolo sul ransomware Sodinokibi:

• Sodinokibi, conosciuto anche come REvil, è un ransomware molto potente che attacca i dispositivi crittografando i file;
• Gli hacker dietro Sodinokibi hanno guadagnato 123 milioni di dollari nel 2020;
• Il ransomware Sodinokibi funziona come un ransomware-as-a-service (Raas);
• Sodinokibi può rubare i dati della vittima e diffonderli nel web per estorcere il riscatto.

Ricorda che, per quanto pericolosa possa essere la minaccia, non devi mai pagare il riscatto.

Rivolgiti ad HelpRansomware per recuperare i file criptati: il servizio è garantito al 100%.