Fecha de publicación: Mar, 08/09/2020 - 13:20

Descripción

Este malware secuestra la información de las estaciones de trabajo afectadas mediante el cifrado de archivos y piden un monto de dinero para enviar la llave de descifrado y poder tener acceso a la información.  Este Ransomware se caracteriza por su gran capacidad de evasión y el gran número de medidas que toma para evitar ser detectado por los motores antivirus. También se ha observado que este Ransomware aprovecha una vulnerabilidad de los servidores Oracle Weblogic. Esta característica hace al Sodinokibi peculiar, sin embargo, al igual que otras muchas familias de Ransomware, el Sodinokibi es un RaaS (Ransomware como servicio), lo cual significa que mientras un grupo se dedica a mantener y crear el código, otro grupo se encarga de su difusión.

 

Vectores de propagación

  • Correos maliciosos, mediante campañas de spam.
  • Publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
  • Ataques de fuerza bruta sobre el protocolo Remote Desktop Protocol (RDP).
  • Explotación de vulnerabilidad CVE-2019-2725 que afecta a sistemas Oracle.

 

Versiones afectadas

Sistemas Operativos Windows 

 

Mitigación

  • Mantener los equipos actualizados con los últimos parches de seguridad
  • Realizar el parchado de sistemas Oracle WebLogic https://www.oracle.com/security-alerts/alert-cve-2019-2725.html
  • Comprobar que los sistemas con escritorio remoto (RDP) expuestas a internet tengan una contraseña robusta
  • Concientizar a los usuarios de no abrir correos sospechosos, archivos o enlaces de fuentes no confiables
  • Aumentar el monitoreo de tráfico no usual que tengan conexiones en puertos 135TCP/UDP y 445TCP/UDP
  • Puede usar los siguientes indicadores de compromiso para bloquearlos en sus dispositivos perimetrales y soluciones anti-spam:

https://www.cgii.gob.bo/es/publicaciones/indicadores-de-compromiso-ioc-del-ransomware-sodinokibirevil

 

Referencias

[1] https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento
[2] https://twitter.com/1ZRR4H/status/1302983076335714304