BTR Consulting analiza al ransomware REvil Sodinokibi

BTR Consulting analiza al ransomware REvil Sodinokibi
La prevención radica en la concientización y la gestión de parches y actualizaciones.

Los principales vectores de propagación de Sodinokibi son el envío de spam vía correo electrónico, la publicidad maliciosa durante la navegación en páginas web.

Sodinokibi o REvil es un ransomware para sistemas Windows que se identificó por primera vez el 17 de abril de 2019, y se lo ha atribuido a un grupo de amenazas conocido como “Gold Southfield”. Se trata de un ransomware as a Service (RaaS), en el que un grupo principal (GOLD SOUTHFIELD) lo mantiene y lo alquila a otros grupos, conocidos como afiliados, que los ejecutan contra las víctimas.

Los principales vectores de propagación de Sodinokibi son el envío de spam vía correo electrónico, la publicidad maliciosa durante la navegación en páginas web (por ejemplo, con programas o actualizadores de software falsos), los ataques de fuerza bruta sobre el protocolo RDP (Remote Desktop Protocol), y la explotación de la vulnerabilidad CVE-2019-2725 que afecta a sistemas Oracle (la cual tiene un parche de seguridad disponible desde el 26 de abril de 2019).

Como cualquier ransomware que logra infectar un equipo, Sodinokibi es capaz de cifrar archivos mediante una clave criptográfica, para posteriormente solicitar el pago de un rescate por ellos a la víctima.
Además de la amenaza de no devolver los archivos encriptados, los atacantes también suelen amenazar con revelarlos públicamente.

El grupo de ciberdelincuentes, llevan la extorsión a un nivel completamente nuevo. Amenazan con subastar los documentos legales de Madonna. Los operadores de la banda de ransomware REvil (Sodinokibi) han lanzado un sitio de subastas similar a eBay donde planean vender datos robados de las compañías que piratean.

El portal de subastas es el último truco en la gran bolsa de tácticas de extorsión de REvil, y una vez más confirma su papel como creadores de tendencias en la comunidad de ransomware y cibercriminal.

Hoy, sabemos que la pandilla REvil es una de las operaciones de ransomware más activas y agresivas. Nunca se dirigen a los consumidores domésticos, sino que se centran principalmente en objetivos corporativos que puedan afectar servicios a terceros.

Utilizan exploits en dispositivos de red para romper las redes empresariales, donde encriptan los archivos de la víctima y solicitan tarifas de extorsión astronómica (con una demanda promedio de $260.000 dólares, como se estima a principios de este año).

Los cibercriminales REvil también poseen un “sitio de filtración” en la dark web, donde publican “teasers” de archivos robados, y luego toda la información robada, si las víctimas no pagan la tarifa de extorsión deseada. Sin embargo, en una publicación de blog en su sitio de filtraciones, el grupo anunció el lanzamiento de una nueva función de “subasta” que le permitirá monetizar los archivos robados en lugar de liberarlos de forma gratuita, como lo hicieron hasta ahora.

La primera subasta está compuesta por archivos robados de una empresa agrícola canadiense, pirateados y encriptados el mes pasado, pero que decidieron no pagar la demanda de rescate.

Los archivos de la compañía se subastan desde un precio inicial de 50.000 dólares, pagadero en la criptomoneda Monero, una criptomoneda a la que la pandilla REvil cambió de Bitcoin en abril, citando preocupaciones de anonimato y privacidad.

Sin embargo, si bien la compañía canadiense es la primera víctima de REvil en poner sus archivos a subasta, la idea de la nueva función de subasta parece haberse formado en las mentes de los cibercriminales durante la extorsión en curso de una firma de abogados de Nueva York que representa celebridades.

¿Como prevenir este ransomware?

Debido a que los principales medios de propagación son el spam, el pshishing y la explotación de vulnerabilidades en la configuración de servicios, la prevención radica en la concientización y la gestión de parches y actualizaciones. No abra adjuntos que están presentes en correos por parte de remitentes desconocidos o sospechosos.

Lo mismo aplica a los enlaces web. Esos correos electrónicos suelen presentarse como oficiales e importantes; sin embargo, casi siempre son irrelevantes. Asimismo, le recomendamos usar los sitios web oficiales y de confianza al descargar el software y actualizarlo con las funciones o herramientas incorporadas facilitadas solo por desarrolladores oficiales.

Sepa que las herramientas que permiten a los usuarios evitar el pago de software son ilegales y suelen ocasionar infecciones informáticas. Para evitar tener infectado el equipo, le recomendamos tener instalado (y activado) un software antivirus o anti espía de reputación.

La concientización de los empleados para no caer ante ataques de phishing reduciría notoriamente la probabilidad de sufrir un ataque de ransomware. Sin embargo, esta tiene que estar acompañada de una actualización constante del software existente en los equipos de toda la compañía.

Por último, se recomienda llevar adelante un backup de los datos en un lugar distinto al cual se almacenan los datos de la compañía, debido a que Sodinokibi tiene la capacidad de cifrar también los backups locales.

Los objetivos a los que se dirige este tipo de ransomware suelen ser grandes organizaciones corporativas, por lo que estas empresas deben ser conscientes de la amenaza que supone este tipo de actividad y aplicar las medidas preventivas recomendadas, debido a que no se conocen medidas para contrarrestar estos ataques.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)