Tesorion en SIDN Labs onderzoeken verspreiding Sodinokibi
De Sodinokibi-ransomware die enkele maanden geleden voor het eerst ontdekt is, lijkt sterk in opkomst te zijn. Eerst werd deze ransomware gevonden in gerichte aanvallen, zoals bijvoorbeeld beschreven door Cisco Talos. Tegenwoordig lijkt de ransomware ook minder specifiek gericht en via spam verspreid te worden. Zo onderzochten onderzoekers van Tesorion een spam-mail waarmee Sodinokibi deze maand verspreid werd. Om een beeld te krijgen van infecties over de hele wereld, hebben SIDN Labs en Tesorion gezamenlijk DNS-data geanalyseerd. Deze blogpost is het resultaat van de samenwerking en beschrijft zowel een voorbeeld van de huidige verspreiding van Sodinokibi per e-mail, als de resultaten van ons onderzoek naar wereldwijde Sodinokibi-infecties.
Sodinokibi via spam verspreid
Begin juli kregen researchers van Tesorion een e-mail voor onderzoek aangeboden die er op het eerste gezicht legitiem uit zag. Het betrof een sollicitatie naar aanleiding van een zogenaamde vacature op ‘werksite.nl’ door ene Beatrix. De mail verwijst naar de bijgevoegde CV en motivatiebrief en bevat een .zip-bestand als bijlage met een zinnige filename. Dat is niet vreemd, omdat er twee bestanden als bijlage te verwachten zijn. Na uitpakken levert de bijlage een enkel .exe-bestand op dat zogenaamd het CV zou bevatten. In werkelijkheid is dit bestand de Sodinokibi-ransomware en wordt het systeem hiermee geïnfecteerd en de data versleuteld zodra de lezer het CV probeert te openen.
Er is duidelijk aandacht besteed aan het schrijven van de mail. Zo is het taalgebruik bijna foutloos, wordt er verwezen naar de bekende vacature-website werksite.nl en kloppen de verwoordingen ook bij een sollicitatiebrief. Daarnaast klopt het mailadres van de afzender met de naam waarmee de mail ondertekend is, en lijkt het gebruikte domein van de afzender op het domein van een grote Nederlandse ISP. Ook is het afzenderdomein te verifiëren door middel van DKIM, wat er ook voor zorgt dat het bericht er legitiem uit ziet.
Het is goed mogelijk dat bijvoorbeeld een HR-medewerker in een moment van onoplettendheid het CV probeert te openen, daarmee Sodinokibi activeert en zo een ransomware-infectie binnen een bedrijfsnetwerk in gang zet.
De Sodinokibi-variant uit deze recente spammail probeert een lange lijst van servers te benaderen, net als eerdere exemplaren die we gezien hebben. In de rest van deze blogpost bespreken we hoe we hier gebruik van konden maken om zicht te krijgen op de wereldwijde verspreiding van Sodinokibi-infecties.
Gebruik van legitieme domeinen
Sodinokibi probeert contact te leggen met een aanzienlijke lijst van servers. Deze lijst is geconfigureerd in de malware, en kan dus per malware binary verschillen. Naar iedere server wordt op een willekeurig gegenereerde URL dezelfde data gestuurd (zie ook de eerdere analyse van Tesorion). Deze data bevat informatie over het geïnfecteerde systeem.
Eerdere analyse door Tesorion toont aan dat de malware niets doet met een eventueel antwoord van de server waar de data naartoe verstuurd wordt. We denken dat de malware deze informatie verstuurt zodat de cybercrimineel inzicht kan krijgen in aantallen geïnfecteerde systemen en daarmee het succes van de campagne waarmee de malware verspreid wordt.
Opvallend is dat de lijst van domeinen vooral bestaat uit ogenschijnlijk legitieme domeinen. We verwachten dat deze lijst één of meerdere domeinen bevat waar de verstuurde data opgevangen wordt. Deze zijn echter lastig te identificeren omdat er veel legitieme, maar relatief onbekende domeinen in de lijst staan. Het is dus ook niet mogelijk om iedere server uit de lijst te gebruiken als individuele indicator of compromise.
We zien soms ook dat malware legitieme domeinen gebruikt omdat deze gehackt zijn en naast hun normale functie ook een command & control-server draaien op een specifieke URL. Omdat Sodinokibi echter willekeurige URL’s genereert, denken we dat het onwaarschijnlijk is dat de legitieme domeinen in dit geval gehackt zijn, maar dat ze worden gebruikt als afleiding om de echte C&C te verbergen.
Meten is weten
Tesorion Retrospect #1
In het Tesorion Retrospect Rapport #1 kijken we terug op het afgelopen jaar, een jaar waarin de COVID-19 crisis de bedrijfscontinuïteit onder grote druk heeft gezet. Leer hoe COVID-19 hackers vrij spel geeft op bedrijfsnetwerken.
Sodinokibi-infecties wereldwijd
Het gebruik van veel verschillende, waarschijnlijk legitieme domeinen, zorgt ervoor dat een Sodinokibi-infectie opvallend veel DNS-requests doet. De specifieke combinatie van domeinen die we hebben gezien in Sodinokibi-configuraties komt bovendien waarschijnlijk erg weinig voor in normaal verkeer van niet-geïnfecteerde systemen. Zo komen er veel domeinen langs van verschillende country TLD’s, zoals .de, .nl, .uk, .es, .ru en .br, allemaal in dezelfde variant van de ransomware. Het gebruik van zoveel verschillende domeinen en TLD’s maakt het moeilijker om te bepalen welke domeinen daadwerkelijk in handen van de criminelen zijn, en welke alleen aanwezig zijn als afleiding. Deze aanpak heeft echter ook een keerzijde: ieder TLD heeft een beherende partij, zoals SIDN voor het .nl-domein, en iedere TLD-beheerder heeft vanwege zijn positie goed zicht op het wereldwijde gebruik van de domeinen onder dat specifieke TLD.
Omdat er veel Sodinokibi-varianten zijn die onder andere gebruik maken van een hoop .nl-domeinen, besloten we te onderzoeken of de data die dit oplevert bruikbaar is om een beeld te krijgen van mogelijke infecties wereldwijd met deze varianten. Hiervoor hebben we gekeken naar gesampelde, geanonimiseerde logs van de .nl-nameservers. Daarin hebben we gezocht naar requests voor specifiek de .nl-domeinen die gebruikt worden door Sodinokibi. De IP-adressen van de resolvers die deze requests gedaan hebben, lieten we vanwege mogelijke privacy-impact buiten de dataset, maar de bijbehorende landen en AS-nummers (die de eigenaren van de netwerken identificeren) hebben we wel meegenomen. Zo wilden we inzicht krijgen in de wereldwijde verspreiding van Sodinokibi. Het identificeren van de exacte geïnfecteerde systemen, of zelfs het exacte aantal daarvan, was niet ons doel. Daarvoor is deze geanonimiseerde dataset ook niet geschikt.
De eerste stap van het onderzoek was het opschonen van de data: er zijn resolvers die zeer veel domeinen regelmatig opvragen, en daarmee dus ook de specifieke Sodinokibi .nl-domeinen. Voorbeelden hiervan zijn de resolvers die door webcrawlers of grote e-maildiensten gebruikt worden. Deze hebben we verwijderd uit de dataset. Door te kijken naar resolvers die in verhouding veel .nl-domeinen opvragen die ook door Sodinokibi-infecties opgevraagd worden, terwijl deze domeinen op het eerste gezicht niets met elkaar te maken hebben, kunnen we een beeld krijgen van resolvers die waarschijnlijk door Sodinokibi-infecties gebruikt worden. Vanaf eind april zien we een sterke toename van zulke resolvers in de dataset. Dit valt nagenoeg samen met de eerste ontdekking in het wild van de Sodinokibi-ransomware.
Onze resultaten zijn gebaseerd op twee aannames: ten eerste gebruiken de meeste systemen de resolver uit hun eigen netwerk. Daarmee geeft het netwerk en land van een resolver een indicatie van het netwerk en land van de daadwerkelijke infecties. Ten tweede vraagt iedere infectie slechts op één dag alle domeinen op, en horen daarmee requests op verschillende dagen dus bij verschillende infecties. Dit laatste was het geval in alle varianten die Tesorion analyseerde. We realiseren ons dat deze aannames niet altijd juist zullen zijn, maar voor het inzicht dat we proberen te verkrijgen, zijn ze goed genoeg.
Door de resolvers te groeperen per netwerk (AS-nummer) zorgen we ervoor dat verschillende resolvers die bijvoorbeeld round-robin worden gekozen door een geïnfecteerd systeem niet onterecht gezien worden als meerdere infecties. Door nu per dag te kijken naar het aantal verschillende AS-nummers, krijgen we een aardig beeld van de landen en netwerken die door Sodinokibi geraakt zijn.
Om een idee te krijgen hoeveel verschillende netwerken zijn besmet per land, hebben we in de volgende grafiek het aantal AS-nummers per land geteld. Opvallend hierin is dat Zuid-Korea in de top-10 staat van aantallen AS-nummers met infecties. Ook hier is weer een hint van een relatie tussen GandCrab en Sodinokibi, want volgens Krebs was er een spam-campagne van GandCrab gericht op dit land.
Een infectie vraagt eenmalig alle hostnames op, dus als een AS-nummer infecties heeft op meerdere dagen zal er op elk van die dagen een piek te zien zijn in het aantal opgevraagde Sodinokibi-hostnames. Als we tellen hoeveel dagen elk AS-nummer een infectie heeft en dit sommeren per land, krijgen we een beeld van de wereldwijde verspreiding van deze ransomware. Dit hebben we gedaan voor zowel mei als juni, zoals u kunt zien in de volgende wereldkaarten. U ziet dat Sodinokibi door de tijd heen steeds vaker voorkomt.
Conclusie
Sodinokibi-infecties troffen de afgelopen maanden wereldwijd een aanzienlijk aantal organisaties. Deze ransomware is zowel handmatig verspreid binnen al gehackte organisaties, als direct verspreid via spam in de hoop een onoplettende ontvanger te treffen. De kwaliteit van de door Tesorion geanalyseerde spammail is goed; er is overduidelijk veel aandacht besteed aan de details om de mail er zo legitiem mogelijk uit te laten zien.
De wijze waarop Sodinokibi gebruikmaakt van een grote lijst ogenschijnlijk legitieme domeinen, stelt ons in staat om zicht te krijgen op wereldwijde infecties. Door de werking van DNS en haar unieke positie als beheerder van het .nl-domein, heeft SIDN goed zicht op de netwerken over de gehele wereld van waaruit specifieke .nl-domeinen opgevraagd worden. Door deze data van SIDN te combineren met kennis van Tesorion over de domeinen die door Sodinokibi gebruikt worden, zijn we samen in staat om een beter beeld te krijgen van de verspreiding van Sodinokibi-infecties over verschillende landen en netwerken. Dit levert interessante inzichten op die weer bijdragen aan het beschermen van onze gebruikers en het vrij houden van misbruik van het .nl-domein.
Voorzorgsmaatregelen
Veel ransomware-families maken gebruik van zwakheden in de software om zich op de computer te installeren. Het is dan ook erg belangrijk om besturingssysteem en software up-to-date te houden. Daarnaast kunt u spam-filters, firewalls en endpoint protection installeren, om het risico nog verder te verkleinen. Deze applicaties houden niet alles tegen, waardoor ook het menselijk handelen belangrijk blijft: wees alert bij het openen van een link en open niet de bijlages uit spam.
Het is ook zeer verstandig om regelmatig back-ups te maken. Worden bestanden onverhoopt versleuteld, dan kunt u de back-up terugzetten en blijft de schade beperkt.