Warnung des BSI
Am 24.07.2019 warnte das Bundesamt für Sicherheit in der Informationssicherheit (BSI) vor E-Mails, die unter dem Absender „meldung [at] bsi-bund.org“ im Namen des BSI versandt werden und unter dem Betreff „Warnmeldung kompromittierter Benutzerdaten - Bundesamt für Sicherheit in der Informationstechnik" auf einen vermeintlichen Datenmissbrauch aufmerksam machen. Enthalten ist ferner ein Verweis auf eine angehängte Datei. Die Ausführung der Datei mündet gemäß einer Analyse von bleeping computer im Download und der Infektion mit der Ransomware „Sodinokibi“, die auch unter dem Namen „Sodin“ oder „REvil“ bekannt ist. Mögliche Zusammenhänge zwischen Sodinokibi und der weitverbreiteten, seitens der Entwickler im Mai 2019 aber abgekündigten Schadsoftware GrandCrab werden in einem Artikel von heise.de aufgezeigt.
Verbreitung von Sodinokibi
Gemäß Untersuchungen von Coveware, Inc. haben die Infektionen mit Sodinokibi zugenommen und diese nimmt mit 12,5 % der festgestellten Infektionen mit Ransomware im Berichtszeitraum Q2/2019 den dritthöchsten Rang ein; dabei scheinen Systeme, die erkennbar in den Staaten der ehemaligen UdSSR sowie Syrien betrieben werden, vor einer Infektion verschont zu werden. Die Untersuchungen von Coveware, Inc. zeigen ferner auf, das die Verteilung bzw. Infektion mit Sodinokibi keineswegs auf die Verteilung via Phishing-E-Mails beschränkt ist: auch ungesicherte RDP-Zugänge sowie Softwareschwachstellen werden ebenfalls für eine Infektion genutzt. So erfolgte auch die vermutlich erste detektierte Infektion mit Sodinokibi über eine zu diesem Zeitpunkt noch unbekannte Sicherheitslücke im Oracle WebLogic Server. Darüber berichtete Ciscos Sicherheitsteam Talos in einem Blogeintrag vom 30.04.2019. Zur Zielgruppe gehören dabei auch die Anbieter von Managed Services (MSP), über die dann auch deren Kunden betroffen sind.
Die Anzahl der Infektionen mit Sodinokibi nimmt zu und ungepatchte Sicherheitslücken gewinnen als Angriffsvektor in diesem Zusammenhang an Relevanz.
Schutzmaßnahmen und Detektion
Zur Vorbeugung vor dem Befall mit Schadsoftware wird grundsätzlich empfohlen:
- Schulung und Sensibilisierung der Nutzer
- Regelmäßige Erstellung von Datensicherungen
- Zeitnahes Einspielen zur Verfügung stehender Sicherheits-Updates
- Einsatz von Anti-Virus-Lösungen, die mit aktuellen Schadsoftware-Pattern versorgt werden
- Absicherung von Fernzugängen
- Konfiguration der Systeme nach dem Minimalprinzip (insbesondere Deaktivierung nicht benötigter Dienste)
Sollte in der eigenen Infrastruktur der Verdacht einer Infektion mit Sodinokibi bestehen, sind in dem Talos-Beitrag die „Indicators of Compromise“, wie etwa kontaktierte IP-Adressen, enthalten.