勒索软件 Sodinokibi 袭击电能公司 Light SA，并索要赎金 1400 万美元

Sodinokibi勒索软件（aka REvil）运营商向巴西电力公司Light SA索要1400万美元的赎金

Sodinokibi勒索软件（又名REvil）运营商入侵了巴西电力公司Light SA的要求，索要1400万美元的赎金。

该公司向当地报纸发表了评论，证实了这次攻击

Light S.A.向当地一家报纸承认了入侵行为，但它确实提供了安全漏洞的技术细节，或者披露了感染其系统的勒索软件的类型。

“该公司声称自己受到了病毒攻击，但是促使这种攻击的动机已被保密：黑客入侵了该系统并发送了一种病毒，该病毒可以加密所有Windows系统文件。” 该报纸刊登的帖子写道。

AppGate的研究人员分析了据称在攻击中使用的恶意软件的样本，并将其与Sodinokibi勒索软件联系起来。

“我们的恶意软件分析团队可以访问可能在攻击中使用的二进制文件，我们能够确认该样本来自一个名为Sodinokibi（又名REvil）的家族。” AppGate发布的分析中写道。“尽管我们不能确认这与攻击中使用的文件完全相同，但有证据表明这与Light SA的漏洞有关，例如赎金价格。”

该二进制文件已上传到公共沙箱中，这种情况表明该公司的人员已将其提交来确定文件的性质。

样本是打包的，其行为类似于研究人员从该家族鉴定出的与其他二进制文件关联的行为。解压缩二进制文件后，专家可以解密配置并访问有关勒索软件的数据，包括演员/活动ID，以及提供给受害者的URL，以获取有关如何支付勒索款项的指示。

付款页面托管在Tor网络上，威胁行动者要求受害者在6月19日之前支付106,870.19 XMR（Monero）的赎金。

时间紧迫，勒索软件运营商要求将金额翻倍（215882.8 XMR），约为1400万美元。

付款页面包含有关攻击者的信息，声称攻击者是Sodinokibi帮派。

“整个攻击看起来非常专业，网页甚至包含聊天支持，受害者可以在其中直接与攻击者对话。Sodinokibi的工作模式是RaaS(勒索软件作为服务)，该行动背后的组织似乎隶属于“ Pinchy Spider”，后者与GandCrab勒索软件属于同一组织。” 研究人员继续说道。

专家解释说，Sodinokibi可以作为RaaS(赎金即服务)使用。

AppGate研究人员指出，该恶意软件样本使用32位和64位的CVE-2018-8453漏洞以提升特权。

攻击中使用的勒索软件具有基于位置的白名单。

“不幸的是，该家族没有全局解密器，这意味着需要攻击者的私钥才能解密文件。” AppGate总结道。

“在攻击期间，我们注意到该公司的网站处于脱机状态，并显示与数据库有关的错误消息，这可能与攻击有关。”