Con apenas tres meses, el ransomware Sodinokibi -también conocido como Sodin y REvil- ha llamado la atención de los expertos en seguridad debido a su aparente conexión con el ransomware GandCrab.
Sodinokibi trabaja el modelo Ransomware como Servicio (RaaS) para su distribución y comercialización, tal como lo fue GandCrab. Se dirige a empresas y consumidores por igual desde principios de mayo.
La empresa de seguridad Malwarebytes ha manifestado que el ransomware Sodinokibi intenta llenar el vacío de GandCrab. Según su telemetría, Sodinokibi –detectado por Malwarebytes como Ransom.Sodinokibi– ha tenido aumentos desde la salida de GandCrab, a finales de mayo. Los aumentos de Sodinokibi se observaron en junio y julio, en las empresas y en los consumidores.
Métodos de ataque de Sodinokibi:
- Explotación activa de la vulnerabilidad CVE-2019-2725 en Oracle WebLogic.
- Spam malicioso o campañas de phishing con enlaces o archivos adjuntos.
- Campañas de publicidad maliciosa que llevan al kit de explotación RIG, como antes hizo GandCrab.
- Proveedores de servicios administrados (MSP) comprometidos o infiltrados. Esto se hace al acceder a las redes a través de un protocolo de escritorio remoto (RDP) y luego usar la consola MSP para implementar el ransomware.
Síntomas de la infección por Sodinokibi
- Cambia el fondo de escritorio.
- Presencia de nota ransomware.
- Archivos cifrados con un nombre de extensión de 5–8 caracteres.
- Copias de seguridad de instantáneas eliminadas y herramienta de reparación de inicio de Windows deshabilitada.
El rescate exigido es de mil 300 dólares en moneda Bitcoin, con la amenaza de duplicarlo si no es pagado en los siguientes dos días.
Protege tu sistema de Sodinokibi
Es recomendable:
- Generar copias de seguridad seguras de los datos, ya sea en un disco externo o en la nube. Desconectar el disco externo de la computadora una vez que haya guardado toda la información, ya que también podría ser infectada si aún está conectada.
- Ejecutar actualizaciones en todos los sistemas y software, parchando cualquier vulnerabilidad.
- Tomar en cuenta los correos electrónicos sospechosos, especialmente aquellos que contienen enlaces o archivos adjuntos.
Para mitigar el aspecto comercial, las recomendaciones de Malwarebytes a los administradores de TI son:
- Denegar el acceso IP público al puerto RDP 3389.
- Reemplazar el complemento de integración ConnectWise ManagedITSync de la compañía con la última versión antes de volver a conectar su servidor VSA a Internet.
- Bloquear el puerto 445 SMB.
- Aplicar los últimos paquetes de actualización de Microsoft.
- Asegurar que todo el software en los puntos finales esté actualizado.
- Limitar el uso de las herramientas de administración del sistema al personal de TI o a los empleados que solo necesitan acceso.
- Deshabilitar macros en productos de Microsoft Office.
- Informar regularmente a los empleados sobre las amenazas que podrían estar dirigidas a la industria de la organización o a la propia compañía con recordatorios sobre cómo manejar correos electrónicos sospechosos, como evitar hacer click en enlaces o abrir archivos adjuntos si no están seguros de la fuente.
- Aplicar el filtrado de archivos adjuntos a los mensajes de correo electrónico.
- Generar con regularidad múltiples copias de seguridad de datos, preferiblemente en dispositivos que no estén conectados a Internet.