El ransomware Sodinokibi (también conocido como Sodin o REvi) ha infectado a miles de clientes a través de proveedores de servicios de seguridad administrados (MSSP).
De igual manera, esta amenaza también explotó vulnerabilidades del día cero en servicios remotos como Oracle WebLogic (CVE-2019-2725) y empleó campañas masivas de spam para proliferar durante los últimos meses.
En esta ocasión, la amenaza utiliza una vulnerabilidad en archivo win32k.sys; sin embargo, el parche liberado por Microsoft en octubre de 2018 cubre esta vulnerabilidad, por lo que aquellos usuarios que tengan sus dispositivos actualizados no corren riesgos.
Vale destacar que este ransomware Sodinokibi puede pasar al modo de 64 bits, y cambiar repetidamente desde y hacia 32/64 Modo-bit mientras se ejecutan partes del código de explotación.
https://unsplash.com/photos/uv5_bsypFUM. El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.
Evidencia recabada
Nuestro Observatorio de Amenazas identificó los siguientes hash asociados a esta amenaza, los cuales recomendamos bloquear:MD5e6566f78abf3075ebea6fd037803e176SHA256861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08SHA25606b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851
El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.
¿Cómo prevenirlo?
Es importante tener en cuenta que los atacantes propagan este malware a través de Go2Assist en modalidad de servicio.
En concreto, el Observatorio de Amenazas de Widefense recomienda:
1. Utilizar antivirus de nueva generación
El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero.
Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, pues estas son capaces de proteger el equipo aún cuando este no se encuentre conectado a la red.
Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.
3. Usar herramientas de colaboración y asistencia
Asegúrese de que la empresa opera con herramientas de asistencia remota válidas y corporativas.
Solicita una asesoría gratuita en https://widefense.com/contacto o contacta ahora a uno de nuestros especialistas (+562) 2816 9000