勒索軟件 Sodinokibi 襲擊電能公司 Light SA，并索要贖金 1400 萬美元

Sodinokibi勒索軟件（aka REvil）運營商向巴西電力公司Light SA索要1400萬美元的贖金

Sodinokibi勒索軟件（又名REvil）運營商入侵了巴西電力公司Light SA的要求，索要1400萬美元的贖金。

該公司向當地報紙發表了評論，證實了這次攻擊

Light S.A.向當地一家報紙承認了入侵行為，但它確實提供了安全漏洞的技術細節，或者披露了感染其系統的勒索軟件的類型。

“該公司聲稱自己受到了病毒攻擊，但是促使這種攻擊的動機已被保密：黑客入侵了該系統并發送了一種病毒，該病毒可以加密所有Windows系統文件。” 該報紙刊登的帖子寫道。

AppGate的研究人員分析了據稱在攻擊中使用的惡意軟件的樣本，并將其與Sodinokibi勒索軟件聯系起來。

“我們的惡意軟件分析團隊可以訪問可能在攻擊中使用的二進制文件，我們能夠確認該樣本來自一個名為Sodinokibi（又名REvil）的家族。” AppGate發布的分析中寫道。“盡管我們不能確認這與攻擊中使用的文件完全相同，但有證據表明這與Light SA的漏洞有關，例如贖金價格。”

該二進制文件已上傳到公共沙箱中，這種情況表明該公司的人員已將其提交來確定文件的性質。

樣本是打包的，其行為類似于研究人員從該家族鑒定出的與其他二進制文件關聯的行為。解壓縮二進制文件后，專家可以解密配置并訪問有關勒索軟件的數據，包括演員/活動ID，以及提供給受害者的URL，以獲取有關如何支付勒索款項的指示。

付款頁面托管在Tor網絡上，威脅行動者要求受害者在6月19日之前支付106,870.19 XMR（Monero）的贖金。

時間緊迫，勒索軟件運營商要求將金額翻倍（215882.8 XMR），約為1400萬美元。

付款頁面包含有關攻擊者的信息，聲稱攻擊者是Sodinokibi幫派。

“整個攻擊看起來非常專業，網頁甚至包含聊天支持，受害者可以在其中直接與攻擊者對話。Sodinokibi的工作模式是RaaS(勒索軟件作為服務)，該行動背后的組織似乎隸屬于“ Pinchy Spider”，后者與GandCrab勒索軟件屬于同一組織。” 研究人員繼續說道。

專家解釋說，Sodinokibi可以作為RaaS(贖金即服務)使用。

AppGate研究人員指出，該惡意軟件樣本使用32位和64位的CVE-2018-8453漏洞以提升特權。

攻擊中使用的勒索軟件具有基于位置的白名單。

“不幸的是，該家族沒有全局解密器，這意味著需要攻擊者的私鑰才能解密文件。” AppGate總結道。

“在攻擊期間，我們注意到該公司的網站處于脫機狀態，并顯示與數據庫有關的錯誤消息，這可能與攻擊有關。”