Вымогательское ПО Sodinokibi распространяется через поддельные форумы на взломанных сайтах

Операторы вымогательского ПО Sodinokibi, также известного как REvil, взламывают сайты на WordPress и внедряют JavaScript-код, который отображает сообщения фальшивого форума «Вопросы и ответы» поверх содержимого исходного сайта. Сообщения содержат якобы «ответ от администратора» сайта с активной ссылкой на установщик вымогательской программы.

По данным издания BleepingComputer злоумышленники взламывают сайты и внедряют JS-скрипт в HTML-код. Внедренный URL будет активен для всех посетителей, но сработает только в том случае, если пользователь посещает сайт впервые или не посещал сайт в течение определенного периода времени. При первом посещении сайта появится поддельное сообщение форума «Вопросы и ответы», которое отобразится поверх содержимого web-портала.

Пользователь ничего не заподозрит, поскольку фальшивое сообщение на форуме связано с содержимым взломанной страницы. Если он снова обновит страницу, скрипт не сработает и вместо него отобразится обычное содержимое ресурса. Однако если пользователь не обновит страницу, то увидит вопрос якобы от другого посетителя и ответ администратора с активной ссылкой. При нажатии на ссылку будет загружен zip-архив с другого взломанного сайта. Файл содержит обфусцированный код, загружающий с удаленного сервера большой объем данных, который после расшифровки сохраняется на компьютере в виде GIF-файла. Файл содержит слегка обфусцированную команду PowerShell, используемую для загрузки вымогательского ПО Sodinokibi.

В процессе шифрования злоумышленники удаляют теневые копии файла и в прилагаемой записке указывают требования выкупа и информацию о том, как приобрести дешифровщик.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .