Non classé

Sodinokibi Ransomware est installé sur des serveurs WebLogic exploités

Le 1 mai 2019 - 5 minutes de lecture

ransomware

Les pirates exploitent une vulnérabilité WebLogic récemment révélée pour installer un nouveau logiciel ransomware appelé Sodinokibi. Comme cette vulnérabilité est facile à exploiter, il est important que les administrateurs de serveur installent la mise à jour immédiatement pour empêcher les infections ou les accès non autorisés.

Plus tôt ce mois-ci, un problème de découverte Oracle WebLogic Server (CVE-2019-2725) a été découvert. Il permet aux attaquants d'accéder au serveur de manière à installer un logiciel malveillant ou à l'utiliser comme pack de démarrage pour d'autres attaques. Le 26 avril, Oracle a publié un correctif à installer instantanément pour vous protéger.

Malheureusement, des attaquants ont déjà exploité cette vulnérabilité pour installer des logiciels malveillants tels que des mineurs, des réseaux de zombies et, désormais, Sodinokibi Ransomware.

Pour aggraver les choses, le groupe Cisco Talos, qui a découvert Sodinokibi Ransomware, a découvert que les attaquants avaient également installé GandCrab sur des serveurs déjà infectés en tant que méthode de paiement supplémentaire.

"Après avoir déployé le ransomware Sodinokibi dans le réseau de la victime, les attaquants ont effectué une tentative d'exploitation supplémentaire de CVE-2019-2725 environ huit heures plus tard, mais cette fois-ci, les attaquants ont choisi de déployer Gandcrab v5.2. Distribuer des ransomwares supplémentaires pour un même objectif Sodinokibi est un nouveau goût des ransomwares. Peut-être que les assaillants ont eu le sentiment que leurs tentatives précédentes avaient échoué et qu'ils continuaient à gagner de l'argent en distribuant Gandcrab. "

Le rançongiciel Sodinokibi

Lorsque Sodinokibi Ransomware est exécuté, il lance les commandes suivantes pour supprimer les copies de volume shadow et désactiver la réparation au démarrage de Windows.

"C: Windows System32 cd.exe" / c vssadmin.exe Supprimer les ombres / alt / silencieux et bcdedit / set {défaut} recoveryenabled Non & bcdedit / set {défaut} règles d'état de démarrage ignoreallfailures

Il continuera ensuite à chiffrer les fichiers sur le serveur. Lors du cryptage des fichiers, il utilisera une extension aléatoire unique pour chaque ordinateur infecté.

Sodinokibi fichiers cryptés
Sodinokibi fichiers cryptés

Pour chaque dossier dans lequel des fichiers ont été analysés, une note de rançon nommée au format sera également créée. [extension]-Comment-TO-DECRYPT.txt. Ces solutions contiennent une clé unique et des liens vers un site de paiement.

Sodinokibi Ransom Note
Sodinokibi Ransom Note

Lorsqu'une victime visite le site, il lui est demandé de saisir son extension et sa clé uniques. Une fois entrés, une page indiquant la rançon et une adresse en bitcoins sera utilisée pour payer.

Point de paiement Tor
Point de paiement Tor

Nous ne savons pas s'il existe des faiblesses dans cette famille de ransomware, mais si de nouvelles informations deviennent disponibles, nous mettrons à jour cet article.

Protégez-vous de Sodinokibi Ransomware

En raison de la facilité d'utilisation, si vous utilisez un serveur WebLogic, il y a de fortes chances qu'il ait été compromis.

Dans cet esprit, vous devez immédiatement installer la mise à jour Oracle WebLogic, puis procéder à un audit approfondi du serveur pour détecter toute activité suspecte.

Cela comprend l'examen du dossier% Temp% pour rechercher les logiciels malveillants téléchargés, l'examen des journaux des événements et la recherche de programmes suspects à démarrage automatique. Si possible, il est recommandé de sécher et de réinstaller.

Pour remédier aux problèmes d'attaques futures des serveurs WebLogic, Cisco Talos vous recommande de suivre les étapes suivantes:

  • Consignez et centralisez les événements Web, d'applications et de systèmes d'exploitation.
  • Restreindre l'accès au compte utilisé pour exécuter le processus WebLogic
  • Surveillez les signes de compromis:
    • Sortie réseau de communication à partir de systèmes de centre de données.
    • Fichiers Ransomware "Canaries".
    • POST HTTP externe pour les nouveaux URI.
    • Activité inattendue des comptes de service / système (utilisateur WebLogic).
  • Rechercher, comprendre et atténuer les vulnérabilités.
  • Limitez la communication sortante du centre de données.
  • Segment de réseau pour la défense et la surveillance.
  • Vérifiez l'accès à l'URL (dans ce cas, l'accès à distance à "/ _async / *" et "/ wls-wsat / *").
  • Planifiez la reprise après sinistre, y compris la maintenance et les tests de la sauvegarde et de la récupération des données.
  • Configurez PowerShell pour n’exécuter que les scripts signés.

CIO

Sites liés:

decryptor.top
http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion

Fichiers attachés:

[extension]-Comment-TO-DECRYPT.txt
% Temp%[random].bmp

Cordes intéressantes:

https: //
wp-content
statique
contenu
inclure
uploads
nouvelles
données
admin
photos
images
image
Temp
tmp
graphique
actif
photos
jeu
jpg
.png
gif

Texte de la note de rançon:

Bonjour cher ami!

Vos fichiers sont cryptés et vous ne pouvez donc pas les utiliser. Vous devez visiter notre site pour obtenir des instructions sur le processus de déchiffrement.
Tous les fichiers cryptés ont reçu l'extension p67867.

Instructions dans le réseau TOR
-----------------------------
Installez le navigateur TOR à partir de https://torproject.org/
Visitez le lien suivant: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/tag:google.com,2013:googlealerts/feed:9571013234816393585

Instructions dans le WWW (le lien suivant peut ne pas être en mode de travail, si true, utilisez TOR ci-dessus):
-----------------------------
Visitez le lien suivant: http://decryptor.top/tag:google.com,2013:googlealerts/feed:9571013234816393585

La page vous demandera la clé, la voici:
[key]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.