Blog Widefense

Nueva variante del ransomware Sodin ataca a importantes empresas

Escrito por Marcelo Carvajal | 07-jul-20

Ha resurgido una variante del ransomware Sodin, también llamada Revil y Sodinokibi, un peligroso malware de tipo ransomware, que aprovechó una vulnerabilidad en servidores Oracle WebLogic para introducirse en los sistemas de los MSP. Entre otras herramientas usa técnicas avanzadas de cifrado y puede funcionar sin conexión a los servidores de control.

 

Este ransomware fue detectado por primera vez el año pasado, pero actualmente ha sido utilizado para atacar empresas tales como la famosa productora de licor Jack Daniel’s, y la sede en Brasil de la empresa eléctrica Light.

 

El desarrollo de este ransomware se asocia con el grupo de cibercriminales REvil conocidos por recolectar información sensible del presidente de los Estados Unidos y exigir 42 millones de dólares para no publicar dicha información en mayo de este año.

 

¿Qué hace el ransomware Sodin?

 

Sodinokibi cifra los archivos en las máquinas infectadas y exige un rescate de las víctimas para restaurar los archivos. Sodin se distribuye con un modelo de negocio de Ransomware-as-a-Service, lo que permite que cualquier persona que pueda pagar pueda convertirse en operador del virus.

 

Este ransomware muy sofisticado, aparentemente desarrollado por un grupo con vasta experiencia en el campo, tiene muchas similitudes con otro malware llamado GandCrab, tanto es así que se cree que fue creado por el mismo grupo de ciberdelincuentes. Solo que GandCrab ya era un ransomware complicado y peligroso, y Sodin puede considerarse su versión mejorada.

 

El ransomware Sodin es capaz de cifrar archivos con curve25519 / Salsa20 y cifrar claves con curve25519 / AES-256-CTR., utiliza dos claves públicas para cifrar la clave privada del usuario. Además, este virus utiliza la ofuscación del servidor de comando y control y puede operar usando el algoritmo de programación de clave asimétrica, que permite que el malware funcione sin conexión al C2.

 

¿Cómo Sodin infecta los equipos?

 

Para infiltrarse en las máquinas de sus víctimas, el ransomware Sodin aprovecha varios vectores de infección, la mayoría de los cuales son muy similares a su predecesor, GandCrab.

 

Como tal, se sabe que RAAS utiliza la vulnerabilidad CVE-2019-2725 y usa el kit de explotación RIG. Además, Sodinokibi también se propaga a través de proveedores de servicios gestionados comprometidos. Y, como la guinda del pastel, además de los vectores de ataque anteriormente mencionados, se distribuye en campañas de spam maliciosas.

 

Las principales vectores de propagación a través de los cuales puede ser afectado un equipo son:

  1. Instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware.
  2. Enlace dudoso en correos electrónicos no deseados.
  3. Recursos de alojamiento gratuito en línea.
  4. Utilizando recursos ilegales entre pares (P2P) para descargar software pirateado.

 


¿Qué acciones podemos recomendar?

 
  • Mantenga actualizadas sus plataformas de seguridad.
  • Asegúrese de mantener sus Sistemas Operativos actualizados y con soporte vigente.
  • Asegúrese de contar con un proceso de constante búsqueda y mitigación de vulnerabilidades.
  • Verificar que su solución Antispam se encuentre con políticas optimizadas para la contención de correo malicioso.
  • Evite abrir cualquier tipo de correo electrónico en servidores productivos.
  • Mantenga un control y gestión de perfiles de cuentas de usuarios, evitando así el uso de cuentas privilegiadas.
  • Asegúrese de leer siempre lo que ofrecen los programas que instalará en su máquina.
  • No abra correos electrónicos y/o sus adjuntos de dudosa precedencia.

SOC Widefense – Medidas de refuerzo

 

Hemos reforzado nuestro monitoreo y servicio de ciberseguridad, notificando a todos nuestros clientes con el fin de mantenerlos actualizados de la información relevante asociada a esta amenaza. Entre las medidas tomadas, destacan:

Investigación constante de nuevos indicadores de compromiso que tengan relación con esta amenaza; realizando la carga preventiva de éstos que hasta el momento se han conocido del ransom Sodinokibi. Cabe mencionar que esta acción se realiza en forma paralela a disponer de la validación de los fabricantes respecto a la detección de la amenaza, con el objetivo de anticiparnos a situaciones de potencial riesgo.

  • Ha sido reforzado el nivel de seguridad en las plataformas administradas.
  • Se ha reforzado la detección de eventos de correlación que estén asociados a propagación de una amenaza y/o incremento de detecciones.
  • Han sido implementadas reglas personalizadas que correlacionan los eventos con el objetivo de detectar posible actividad relacionada a Ransomware Sodin.
  • Refuerzo del monitoreo de actividades sospechosas sobre las conexiones a los puertos 135TCP/UDP y 445TCP/UDP

Recomendamos a todos nuestros clientes:

  1.  Realizar de manera urgente el parchado de la vulnerabilidad reportada: CVE-2018-8453 en los sistemas operativos Microsoft Windows, ya que se ha demostrado que el malware utiliza esta brecha para escalar privilegios y lograr la propagación.
  2. Mantener actualizados tanto los sistemas operativos como otros software instalados.
  3. Reforzar las medidas de concientización y educación al usuario final sobre aspectos como: No abrir documentos de fuentes desconocidas, además de tener precaución al abrir documentos y seleccionar enlaces en correos electrónicos.
  4. Realizar el bloqueo de script o servicios remotos no permitidos en la institución.
  5. Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.

Indicadores de Compromiso:

 

SHA256
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 
  MD5
12eac9329329a8848e522feb1924fdbb
8f57dd9eb80974e98bf64a19999db50f
4c49ed010405b8ce42a75645ce67aeed
aaca0b25fa85ab4507d3861697824343
db8b26bc4d47e6b9e9667d22845503b5
0e5d2da2fd24b42f4bb8b59a30c603e5
a994cfba920bb87b9322aeda48282d11
4e2230a70cd9047857151ebda2760055
a8c4e617b6844adac7cf660206eb2b04
830941ec45894c90047eb04d88d37880
2f647d289af36d522476d05f514495fe
8ea56fd712f728e5ed1a7dcba86ca9e9
d44186f7b95ba487fc1c54a05d68f04f
bed6fc04aeb785815744706239a1f243
b86ad4241b01376b3924a380f6f4c934
90e6ea15ed18005b431e135186d57abf
5f58902825d15d59528f98faf43b86c3
0800618cde0d124c6616ef384fbe1434
0330ad93a3a8f9808faa6cb7c2e94c5a
d2aa2785e39504804c84d62af93bc123
0330ad93a3a8f9808faa6cb7c2e94c5a 
 

Conéctate sin miedo

 

En Widefense contamos con una herramienta denominada de BlackBerry Cylance que detectó esta variante de ransomware:

 

BlackBerry Cylance ayuda a hacer frente a las amenazas desde el día cero. Esto lo logra al usar algoritmos que previenen hasta con 36 meses de anticipación los ciberataques, mediante un enfoque único que ayuda a abaratar costos y proteger datos claves de las organizaciones. Ofreciendo protección a todos los endpoints incluyendo dispositivos móviles.

 

Vive la ciberseguridad sin miedo, y apoya las opciones para un acceso seguro, con una navegación respaldada. Conversa con uno de nuestros especialistas de ciberseguridad en contacto@widefense.com o agenda una asesoría en (+562) 2816 9000 o vía WhatsApp al (+56 9 7569 9259). Revisa nuestro Instagram @Widefense o nuestro Facebook.