L’acteur de la menace derrière le ransomware Sodinokibi (REvil) demande une rançon de 14 millions de dollars à la société brésilienne d’énergie électrique Light S.A.

La société a confirmé qu’elle avait été frappée par une cyberattaque sans fournir d’informations spécifiques sur le type de compromis, mais les chercheurs en sécurité d’AppGate, qui ont obtenu un échantillon du malware soupçonné d’avoir été utilisé dans l’attaque, sont convaincus que l’incident implique la Logiciel de rançon Sodinokibi.

«Bien que nous ne puissions pas confirmer qu’il s’agissait du même fichier utilisé lors de l’attaque, les preuves indiquent qu’il est lié à la violation de Light SA, comme le prix de la rançon, par exemple», note AppGate.

Selon les chercheurs, une personne de l’entreprise a soumis le même échantillon à un bac à sable public, probablement dans le but de «comprendre comment cela fonctionne».

L’analyse de la configuration du logiciel malveillant a révélé des informations sur l’acteur de la menace, l’ID de la campagne, ainsi que l’URL à laquelle la victime est invitée pour obtenir des instructions.

Sur cette page, qui est hébergée sur le Web profond, la victime est informée qu’elle doit payer une rançon de 106 870,19 XMR (Monero) avant le 19 juin. Le délai, cependant, est passé et le montant a doublé, à 215882,8 XMR, ce qui représente 14 millions de dollars.

La même page Web révèle des informations sur les agresseurs, mentionnant clairement le nom Sodinokibi, et tente de persuader la victime de payer la rançon en promettant un décryptage complet des données affectées.

« L’ensemble de l’attaque semble très professionnel, la page Web comprend même un support de chat, où la victime peut parler directement avec l’attaquant », notent les chercheurs.

Disponible sous le modèle RaaS (Ransomware-as-a-Service), Sodinokibi est exploité par un acteur de la menace probablement affilié à «Pinchy Spider», le groupe derrière le ransomware GandCrab.

En enquêtant sur le malware lui-même, AppGate a découvert qu’il comprend …

Voir la source de cette publication