Di Sodinokibi abbiamo già parlato in alcune occasioni, ritenendo preoccupante la sua capacità di diffusione nonché il veloce aumento del volume del suo business illegale. Pur relativamente nuovo nella scena ransomware, Sodinokibi ha già infatti costruito una rete piuttosto estesa di affiliati, ponendosi come uno dei probabili successori del famigerato Ransomware GandCrab.
Parliamo di un ransomware che ha ottenuto riscatti di un ammontare fino a 240.000 dollari, mentre incassa in media, per una infezione di rete, circa 150.000 dollari (al punto che alcuni studi indicano in Sodinokibi e Ruyk i responsabili del lievitare delle richieste di riscatto registrato negli ultimi 4 mesi). E non si è fermato neppure ad Agosto, anzi: Sodinokibi è il ransomware che è stato usato per colpire ben 22 diverse amministrazioni locali in Texas, protagonista del più grande attacco ransomware coordinato mai lanciato contro pubbliche amministrazioni: qui la richiesta di riscatto ammonta complessivamente a 2.5 milioni di dollari.
Per approfondire >> Ransomware & città criptate: la "strage" texana di Agosto
Sodinokibi detta le regole del gioco
Scoperto in Aprile, Sodinokibi è divenuto molto prolifico in poco tempo, ottenendo buona reputazione nel mondo del cyber crime e "guadagnandosi" quindi l'attenzione della comunità dei ricercatori di sicurezza. Poco meno di un mese e mezzo dopo, gli attori dietro Sodinokibi annunciavano in un forum nel dark web di aver già guadagnato oltre 100.00 dollari: una vera e propria dimostrazione di efficacia, finalizzata a pubblicizzare un ransomware pensato per assumere la forma del RAAS (ransomware as a service), con una rete di affiliati, guadagni condivisi e persino il supporto garantito.
Tra i RaaS Sodinokibi si è imposto per le condizioni vantaggiose offerte agli affiliati: all'affiliato va il 60% di ogni riscatto, ma dalla terza transazione è previsto un ulteriore aumento del 10%. E' comunque un tipo di RaaS particolare, "privato" viene definito dai suoi sviluppatori: infatti ad oggi le affiliazioni al ransomware sono chiuse e, inoltre, gli sviluppatori non accettano utenti di lingua inglese.
Dentro Sodinokibi
Il ricercatore di sicurezza indipendente Damian è riuscito ad accedere al pannello di controllo del rasnomware, scoprendo dati interessanti. Ad esempio ha pubblicato lo screenshot di uno dei riscatti più alti ottenuti da Sodinokibi: una vittima ha pagato 27.7 Bitcoins, pari a 220.000 dollari.
Altri screenshot pubblicati da Damian dimostrano come il ransomware sia altamente redditizio, sia per vittime che pagano piccoli importi (dai 4.000 dollari) alle vittime che, pur meno numerose, sborsano però altissimi riscatti.
Sodinokibi colpisce intere reti
alcuni affiliati di Sodinokibi sono specializzati nell'infezione di intere reti: in questo caso le vittime possono optare per l'acquisto di un solo tool di decriptazione per la decodifica di tutti gli endpoint della rete. Il costo medio di questo tool si aggira per ora intorno ai 150.000 dollari.
La connessione con GandCrab
Sodinokibi è stato individuato dai ricercatori di sicurezza dopo che era stato distribuito su alcuni server Oracle WebLogic, sfruttando una vulnerabilità critica degli stessi: poche ore dopo i cyber attaccanti installarono sugli stessi server l'ultima versione di GandCrab. Ed è stato proprio alla fine di Aprile che gli sviluppatori di GandCrab hanno annunciato la chiusura del programma di affiliazione e il termine della distribuzione del ransomware: negli stessi giorni gli sviluppatori di Sodinokibi iniziavano a ricercare affiliati per la distribuzione del nuovo ransomware. A ribadire questo legame, verosimile ma del quale non si hanno prove tangibili, c'è un altro punto: alcuni ricercatori hanno infatti indicato come i due ransomware presentino svariate somiglianze a livello di codice. Di contro altri invece puntano l'attenzione sulle differenze, che comunque sono molte e visibili.