Ransomware Sodinokibi bouwt all-star team van ‘affiliates’ op

Stay tuned, abonneer!

De Sodinokibi Ransomware, ook wel REvil genoemd, werkt aan het opzetten van een team van ‘all-star affiliates’, criminelen die voor een toelage de ransomware verspreiden. De ransomware is gemaakt door de groep achter GandCrab, en de affiliates lijken hier ook een verleden mee te hebben. 

De Sodinokibi Ransomware werd eind april ontdekt, toen het kwetsbare WebLogic-servers probeerde binnen te komen. Experts zeggen dat de ransomware gemaakt werd door de groep achter GandCrab, dat een jaar lang de populairste vorm van ransomware was. De makers haalden er naar eigen zeggen 2,5 miljoen dollar per week mee op. 

De nieuwe malware heeft al grote storingen veroorzaakt bij honderden tandartspraktijken in de VS en bij 22 gemeenten in Texas. Twee nieuwe rapporten van McAfee tonen aan dat geassocieerden van GandCrab nu ook om zijn geschakeld naar REvil, schrijft Bleeping Computer.

Affiliates van GandCrab

De affiliates zijn cybercriminelen of groepen die de ransomware van de groep achter GandCrab mochten verspreiden in ruil voor een deel van het losgeld dat betaald wordt door slachtoffers. De affiliates die de beste prestaties leveren, krijgen meer commissie. 

McAfee ontdekte dat affiliates een ID kregen die in de ransomware verwerkt zat die door hen verspreid werd. Affiliates konden ook SubID’s genereren. Door honderden monsters van GandCrab te analyseren, was vaststellen dat er ongeveer 292 affiliates waren. Niet al die affiliaties waren ook echt actief. Degene met nummer 99 was het meest actief, gevolgd door 15, 41 en 170. 

Een maand voordat Sodinokibi actief werd, ontdekte McAfee dat een aantal van die affiliates plots verdween uit de laatste build van de ransomware, versie 5.2. Niet lang daarna verscheen er een relatief nieuwe ransomware-as-a-service (RaaS), nog zonder naam. Op fora als exploit.in rekruteerde een lid genaamd UNKN affiliates. 

All-star team

Het rekruteringsproces was erg selectief en slechts een klein deel van de deelnemers werd ook echt geselecteerd. Een ander lid, Lalartu, steunde de nieuwe ransomware en liet weten dat hij eerder een affiliate was van GandCrab. 

Niet lang daarna ontplofte Sodinokibi met een distributie die erg leek op de aanvallen met GandCrab. BleepingComputer denkt nu dat GandCrab zijn top affiliates geïnformeerd heeft dat ze gingen stoppen. Mogelijk werden de affiliates toen verplaatst naar Sodinokibi, of gingen ze uit eigen beweging. 

Bij de nieuwe ransomware worden in ieder geval ook weer ID’s en SubID’s gebruikt, op dezelfde manier als bij GandCrab. Daardoor konden ID’s uit monsters gehaald worden en de meest actieve affiliates gevonden worden, om ze te vergelijken. En de meest actieve affiliate blijkt nu een erg vergelijkbaar patroon met SubID’s en verspreide monsters te volgen als de meest actieve bij GandCrab. Dat is dus waarschijnlijk dezelfde affiliate. 

Affiliates moeten ook offline

Dit duidt er dus op dat een deel van de affiliates van GandCrab overgestapt is naar Sodinokibi. McAfee stelt dan ook dat de politie niet alleen de ransomware offline moet halen, maar ook de verspreiders.  Door de distributie te verstoren, valt het RaaS-model snel uit elkaar. Het inkomen uit dat netwerk is namelijk voor een groot deel afhankelijk van de beste affiliates.