Skip to content
Observatorio de amenazas SODINOKIBI
Marcelo Carvajal 22-jul-2019 2 min read

Observatorio de Amenazas detecta variante del ransomware Sodinokibi

La semana pasada, nuestro Observatorio de Amenazas detectó una nueva variante del ransomware Sodinokibi que ha estado afectando a distintos clientes en la región del Asia Pacífico.  

El ransomware Sodinokibi (también conocido como Sodin o REvi) ha infectado a miles de clientes a través de proveedores de servicios de seguridad administrados (MSSP). 

De igual manera, esta amenaza también explotó vulnerabilidades del día cero en servicios remotos como Oracle WebLogic (CVE-2019-2725) y empleó campañas masivas de spam para proliferar durante los últimos meses.

En esta ocasión, la amenaza utiliza una vulnerabilidad en archivo win32k.sys; sin embargo, el parche liberado por Microsoft en octubre de 2018 cubre esta vulnerabilidad, por lo que aquellos usuarios que tengan sus dispositivos actualizados no corren riesgos. 

Vale destacar que este ransomware Sodinokibi puede pasar al modo de 64 bits, y cambiar repetidamente desde y hacia 32/64 Modo-bit mientras se ejecutan partes del código de explotación. 

https://unsplash.com/photos/uv5_bsypFUM. El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 

Evidencia recabada 

 

Nuestro Observatorio de Amenazas identificó los siguientes hash asociados a esta amenaza, los cuales recomendamos bloquear:MD5e6566f78abf3075ebea6fd037803e176SHA256861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08SHA25606b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851 

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 
 

¿Cómo prevenirlo?

Asegúrate de que tu antivirus bloquea y detecta esta amenaza. Herramientas como Cylance, antivirus de última generación detectan este ransomware debido a su modelo matemático que permite efectuar el análisis y bloqueo por comportamiento.
Para los clientes administrados por el equipo de Widefense, por su parte, se procedió a bloquear los hash a nivel de antivirus.

Es importante tener en cuenta que los atacantes propagan este malware a través de Go2Assist en modalidad de servicio.

En concreto, el Observatorio de Amenazas de Widefense recomienda: 

 

1. Utilizar antivirus de nueva generación

El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero.

Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, pues estas son capaces de proteger el equipo aún cuando este no se encuentre conectado a la red.

 
2.Asegurar su cobertura

Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.

 

3. Usar herramientas de colaboración y asistencia

Asegúrese de que la empresa opera con herramientas de asistencia remota válidas y corporativas. 

 

Solicita una asesoría gratuita en https://widefense.com/contacto o contacta ahora a uno de nuestros especialistas  (+562) 2816 9000