El ransomware Sodinokibi, también conocido como Sodin y REvil, apenas tiene tres meses, pero se ha convertido rápidamente en un tema de discusión entre los profesionales de la ciberseguridad debido a su aparente conexión con el infame ransomware GandCrab.
Detectado por Malwarebytes como Ransom.Sodinokibi , Sodinokibi es un ransomware-as-a-service(RaaS), tal como lo fue GandCrab, aunque los investigadores creen que es más avanzado que su predecesor. Hemos observado que esta amenaza se dirige a empresas y consumidores por igual desde principios de mayo, con un aumento en las empresas a principios de junio y elevaciones en las detecciones de consumidores a mediados de junio y mediados de julio. Basándose en nuestra telemetría, Sodinokibi ha aumentado desde la salida de GandCrab a finales de mayo.
El 31 de mayo, los actores de la amenaza detrás de GandCrab anunciaron formalmente su retiro, detallando su plan para dejar de vender y publicitar a GandCrab en una publicación oscura del foro web.
Si bien muchos pueden haber emitido suspiros de alivio ante la «aprobación» de GandCrab, algunos expresaron su escepticismo sobre si el equipo realmente pondría detrás de su exitoso plan para hacer dinero. Lo que siguió fue una sombría anticipación de otra operación de ransomware, o una reaparición del grupo que vendía nuevas mercancías, y se hizo cargo de llenar el agujero que GandCrab había dejado atrás.
Entra Sodinokibi
Dar un giro a un producto antiguo es un concepto que no se desconoce en los círculos comerciales legítimos. A menudo, la rotación implica la creación de un nuevo nombre para el producto, algunas modificaciones de sus características existentes y la búsqueda de nuevos influenciadores, «afiliados» en el caso de las operaciones de RaaS, para usar (y comercializar) el producto. Además, los actores de amenazas inicialmente limitarían la disponibilidad del nuevo producto y seguirían con una campaña de marketing completamente nueva, todo sin tocar el estándar del producto. En retrospectiva, parece que el equipo GandCrab ha tomado esta ruta.
Un mes antes del anuncio de retiro de GandCrab, los investigadores de Cisco Talos dieron a conocerinformación sobre su descubrimiento de Sodinokibi. Los atacantes infectaron manualmente el servidor de destino después de explotar una vulnerabilidad de día cero en su aplicación Oracle WebLogic.
Hasta la fecha, se han visto seis versiones de Sodinokibi en la naturaleza.
Vectores de infeccion de Sodinokibi
Al igual que GandCrab, el ransomware Sodinokibi sigue un sistema de ingresos de afiliados, que permite a otros ciberdelincuentes difundirlo a través de varios vectores. Sus métodos de ataque incluyen:
- Explotación activa de una vulnerabilidad en Oracle WebLogic, oficialmente nombrado CVE-2019-2725
- Spam malicioso o campañas de phishing con enlaces o archivos adjuntos.
- Campañas de publicidad maliciosa que llevan al kit de explotación RIG, una avenida que GandCrab usó antes
- Proveedores de servicios gestionados (MSP) comprometidos o infiltrados, que son empresas de terceros que administran de forma remota la infraestructura de TI y / o los sistemas de usuario final de otras compañías, para impulsar el ransomware en masa. Esto se hace al acceder a las redes a través de un protocolo de escritorio remoto (RDP) y luego usar la consola MSP para implementar el ransomware.
Aunque los afiliados utilizaron estas tácticas para impulsar a GandCrab, también, muchos ciberdelincuentes , incluidos los actores del estado-nación, han hecho lo mismo para impulsar sus propias campañas de malware.
Síntomas de la infección por Sodinokibi
Los sistemas infectados con Sodinokibi ransomware muestran los siguientes síntomas:
Se ha cambiado el fondo de escritorio. Al igual que cualquier otro ransomware, Sodinokibi cambia el fondo de escritorio de los sistemas afectados en un aviso, informando a los usuarios que sus archivos han sido cifrados. El fondo de pantalla tiene un fondo azul, como se puede ver parcialmente en la captura de pantalla anterior, con el texto:
Todos tus archivos están encriptados!
Encuentre {5-8 caracteres alfanuméricos} -readme.txt y siga las instrucciones
Presencia de nota ransomware. El archivo {5-8 caracteres alfanuméricos} -readme.txt al que se refiere es la nota de rescate que viene con cada ataque de ransomware. En el caso de Sodinokibi, se ve así:
La nota contiene instrucciones sobre cómo los usuarios afectados pueden pagar el rescate y cómo funciona el proceso de descifrado.
Archivos cifrados con un nombre de extensión de 5–8 caracteres. Sodinokibi cifra ciertos archivos en unidades locales con el algoritmo de cifrado Salsa20, y cada archivo se renombra para incluir una extensión alfanumérica pseudoaleatoria pre generada de cinco a ocho caracteres.
El nombre de la extensión y la cadena de caracteres incluidos en el nombre del archivo de la nota de rescate son los mismos. Por ejemplo, si Sodinokibi ha cifrado un archivo de imagen y lo ha cambiado a paris2017.r4nd01 , su correspondiente nota de rescate tendrá el nombre de archivo r4nd01-readme.txt .
Sodinokibi busca archivos que están relacionados principalmente con medios y programación, con las siguientes extensiones para cifrar:
- .jpg
- .jpeg
- .crudo
- .tif
- .png
- .bmp
- .3dm
- .max
- .accdb
- .db
- .mdb
- .dwg
- .dxf
- .cpp
- .cs
- .h
- .php
- .áspid
- .rb
- .Java
- .aaf
- .aep
- .aepx
- .plb
- .prel
- .aet
- .ppj
- .gif
- .psd
Copias de seguridad de instantáneas eliminadas y herramienta de reparación de inicio de Windows deshabilitada. La instantánea (también conocida como Volume Snapshot Service, Volume Shadow Copy Service o VSS) y Startup Repair son tecnologías inherentes al sistema operativo Windows. El primero es «una instantánea de un volumen que duplica todos los datos que se mantienen en ese volumen en un instante bien definido en el tiempo», según el Centro de desarrollo de Windows . La última es una herramienta de recuperación utilizada para solucionar ciertos problemas de Windows.
La eliminación de las instantáneas evita que los usuarios se restauren desde la copia de seguridad cuando descubren que sus archivos están cifrados por ransomware. Deshabilitar la herramienta de reparación de inicio evita que los usuarios intenten corregir los errores del sistema que pueden haber sido causados por una infección de ransomware.
Otros trucos bajo la manga de Sodinokibi.
El ransomware normalmente no aprovecha las vulnerabilidades de día cero en sus ataques, pero Sodinokibi no es su ransomware promedio. Aprovecha una vulnerabilidad de día cero con privilegios elevados en el archivo de componentes de Win32k en Windows.
Designada como CVE-2018-8453 , esta falla puede otorgar al administrador de Sodinokibi acceso a los puntos finales que infecta. Esto significa que puede llevar a cabo las mismas tareas que los administradores en los sistemas, como deshabilitar el software de seguridad y otras funciones destinadas a proteger el sistema contra el malware.
CVE-2018-8453 era la misma vulnerabilidad que el FruitArmor APT explotado en su campaña de malware año pasado.
También se ha encontrado que las nuevas variantes de Sodinokibi usan «Heaven’s Gate», una antigua técnica de evasión utilizada para ejecutar código de 64 bits en un proceso de 32 bits, que permite que el malware se ejecute sin ser detectado. Tocamos esta técnica a principios de 2018 cuando analizamos un cryptominer interesante que capturamos en la naturaleza.
Protege tu sistema de Sodinokibi
Malwarebytes rastrea las campañas de Sodinokibi y protege a los usuarios consumidores premium y usuarios empresariales con una detección sin firma , lo que afecta al ataque antes de que comience la cadena de infección. Los usuarios de nuestra versión gratuita no están protegidos contra esta amenaza sin protección en tiempo real.
Recomendamos a los consumidores que realicen las siguientes acciones si no son clientes premium de Malwarebytes:
- Cree copias de seguridad seguras de sus datos, ya sea en un disco externo o en la nube . Asegúrese de desconectar la unidad externa de su computadora una vez que haya guardado toda su información, ya que también podría estar infectada si aún está conectada.
- Ejecute actualizaciones en todos sus sistemas y software, parcheando para cualquier vulnerabilidad.
- Tenga en cuenta los correos electrónicos sospechosos, especialmente aquellos que contienen enlaces o archivos adjuntos. Lea sobre cómo detectar intentos de phishing tanto en su computadora como en sus dispositivos móviles .
Para mitigar el aspecto comercial, también recomendamos a los administradores de TI que hagan lo siguiente:
- Denegar el acceso IP público al puerto RDP 3389.
- Reemplace el complemento de integración ConnectWise ManagedITSync de su compañía con la última versión antes de volver a conectar su servidor VSA a Internet.
- Bloque SMB puerto 445. De hecho, es una buena práctica de seguridad bloquear todos los puertos no utilizados.
- Aplicar los últimos paquetes de actualización de Microsoft.
- En este sentido, asegúrese de que todo el software en los puntos finales esté actualizado.
- Limite el uso de las herramientas de administración del sistema al personal de TI o a los empleados que solo necesitan acceso.
- Deshabilitar macro en productos de Microsoft Office.
- Informa regularmente a los empleados sobre las amenazas que podrían estar dirigidas a la industria de la organización o a la propia compañía con recordatorios sobre cómo manejar correos electrónicos sospechosos , como evitar hacer clic en enlaces o abrir archivos adjuntos si no están seguros de la fuente.
- Aplicar el filtrado de archivos adjuntos a los mensajes de correo electrónico.
- Cree con regularidad múltiples copias de seguridad de datos, preferiblemente en dispositivos que no estén conectados a Internet.
Indicadores de compromiso (COI)
Hashes de archivo:
- e713658b666ff04c9863ebecb458f174
- bf9359046c4f5c24de0a9de28bbabd14
- 177a571d7c6a6e4592c60a78b574fe0e
Sobre el autor