TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Conoce más sobre REvil el Ransomware que ha puesto en jaque al mundo

Escrito por Felipe Sánchez on 15/07/21 16:31
Felipe Sánchez

REvilSodinokibi el Ransomware que ha puesto en jaque al mundoLos ataques de ransomware parecen ser algo cotidiano, continúan evolucionando y convirtiéndose en una amenaza cada vez más seria a la seguridad de la información. Una de estas amenazas es REvil/Sodinokibi una nueva variante de Ransomware que esta poniendo en jaque al mundo.

¿Qué es REvil/Sodinokibi y cómo funciona?

Las ciberamenazas siguen su evolución y el ransomware no es la excepción. En esta ocasión nos encontramos con REvil/Sodinokibi que es un ransomware as a service presuntamente creado por un colectivo de cibercriminales vinculado a Rusia que es acusado de ataques a cientos de empresas en todo el mundo.

Como ya sabes, el ransomware no es una amenaza nueva. Sin embargo, esta variante es diferente porque se trata de un ransomware moderno y avanzado que además de robar información durante sus asaltos, con objeto de tener más ases en la manga con los que extorsionar, hace que las víctimas se vean obligadas a pagar estos rescates no solo para recobrar la normalidad en sus sistemas, sino también para evitar que datos confidenciales de empleados o clientes se filtren a la red.

Lo que hace tan peculiar a este tipo de ataques es que al tratarse de un ransomware como servicio, es difícil saber quién es el perpetrador original, ya que los desarrolladores de REvil actúan como mercenarios y sólo atacan bajo encargo. Recuerda que solo hace falta un clic del usuario en un link malicioso para que el Ransomware haga lo suyo, secuestre la información y exija una recompensa.

En este caso el vector de ataque de REvil/Sidinokibi es la explotación de vulnerabilidades de día cero en software, dónde de acuerdo con los expertos en ciberseguridad utiliza Advanced Encryption Standard (AES) y el algoritmo Salsa20. para cifrar los datos individuales, AES lo utilizan para cifrar los secretos de la sesión y los datos que se envían al servidor de control, mientras que los datos individuales se cifran utilizando la seguridad Salsa20.

REvil/Sodinokibi también utiliza un algoritmo de intercambio crucial Diffie-Hellman de curva elíptica para crear y proliferar claves de cifrado. Una vez que se infiltra en un dispositivo, borra cada uno de los documentos en la carpeta de respaldo y a esparcirse por la red cifrando todo a su paso.

¿Cómo se propaga REvil/Sodinokibi?

REvil/Sodinokibi tiene varios métodos para incorporarse a tu sistema. Sin embargo, estas son las filtraciones comunes a través de las cuales puede inyectarse en tus dispositivos:

  • Instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware
  • Enlaces maliciosos en correos electrónicos no deseados que conducen al instalador de REvil/Sodinokibi
  • Recursos de alojamiento gratuito en línea
  • Utilizando recursos ilegales entre pares (P2P) para descargar software pirateado.

Existen casos en que el virus REvil/Sodinokibi se ha disfrazado como una herramienta legítima, por ejemplo, en los mensajes que exigen iniciar un software no deseado o actualizaciones del navegador.

Por lo general, esta es la forma en que algunos fraudes en línea pretenden forzarte a instalar el ransomware REvil/Sodinokibi de forma manual, haciéndote participar directamente en este proceso.

 

vovales1

¿Cuáles son los síntomas de un dispositivos infectado por el Ransomware REvil/Sodinokibi?

Los sintomas de REvil/Sodinokibi son fáciles de identificar, ya que como con cualquier otro tipo de infección de ransomware, existen 5 señales de alarma que puedes detectar en tus dispositivos cuándo están infectados de ramsonware, conoce cuáles son en la siguiente infografía:

Síntomas del Ransomware REVIL

(Knowbe4, 2021) Am I Infected? Ransomware Symptoms

¿A quiénes afecta?

Al ser REvil/Sodinokibi un Ransomware as a Service cualquier empresa, de cualquier sector en cualquier parte del mundo podría convertirse en su próxima víctima. Aunque los especialistas inciden en que toda la actividad cibernética del grupo REvil ha desaparecido solo unos días después de que el presidente de EEUU, Joe Biden, lanzase una advertencia a su homólogo ruso, Vladimir Putin, a quien le exigió que actuase de una vez contra los colectivos de ciberdelincuentes que operan los ransomware contra objetivos estadounidenses, no debes bajar la guardia, ya que nunca se sabe cuándo va a volver a ocurrir el próximo gran ataque de Ransomware como el ataque masivo a Kaseya que puso en jaque a más de 40,000 de sus clientes, 1000 empresas y al mundo entero

Conoce más sobre el ataque que puso en jaque al mundo. "el ataque a KASEYA"

En el caso de los recientes ataques del 4 de julio a Kaseya, una empresa que proporciona software de gestión de TI a proveedores de servicios gestionados (MSP) y empresas de TI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) compartió que el software VSA de Kaseya se utilizó para impulsar un script malicioso.

De acuerdo con el CISA, el software VSA, que normalmente se usa para distribuir actualizaciones de software a sus clientes, fue armado para impulsar un script PowerShell malicioso, que luego cargó la carga útil del ransomware REvil en los sistemas de los clientes. Es importante tener en cuenta que los que no son clientes de Kaseya también podrían verse afectados a través de sus proveedores de servicios.

Durante su proceso de ataque el ransomware Sodinokibi / REvil (detectado como Ransom.Win32.SODINOKIBI.YABGC ) que afectó a Kaseya VSA desactiva ciertos servicios y finalizó los procesos relacionados con software legítimo, como navegadores y aplicaciones de productividad.

Aquí te comparto los Indicadores de compromiso observados (IOC) de esta amenaza.

  • El cifrador de ransomware es eliminado por {Path} \ agent.exe, detectado como Trojan.Win32.SODINSTALL.YABGC, a través de una técnica de carga lateral de DLL utilizando un ejecutable legítimo para cargar una DLL maliciosa (Ransom.Win32.SODINOKIBI.YABGC)
  • El procedimiento de VSA se denomina "Kaseya VSA Agent Hot-fix".
  • Al menos dos tareas específicas, cifrado y terminación del proceso, ejecutan lo que parece ser un script de PowerShell específico con el cifrador mencionado anteriormente.
SHA-256 Nombre del archivo Nombre de detección
D55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e Agent.exe Trojan.Win32.SODINSTALL.YABGC
E2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2 mpsvc.dll (DLL de carga lateral) Ransom.Win32.SODINOKIBI.YABGC
8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd mpsvc.dll (DLL de carga lateral, versión alternativa)
2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643 Agent.crt Trojan.Win32.SODINSTALL.YABGC

(Trend Micro, 2021) IT Management Platform Kaseya Hit With Sodinokibi/REvil Ransomware Attack

¿Cómo nos podemos proteger del Ransomware REvil/Sodinokibi y otras variantes?

  • Concientización y capacitación
    Capacitar y concientizar al elemento humano es siempre una buena inversión y esto cobra mayor importancia en el esquema de trabajo remoto e híbrido que se vive actualmente.  
  • Mantener los dispositivos al día en cuanto a actualizaciones
    Sabemos que las ventanas de mantenimiento suelen ser un dolor de cabeza, sin embargo te recomendamos tener el buen hábito de mantenerte todos tus dispositivos al día ya que con esto cerraras varios gaps.
  • Protección con Machine Learning e Inteligencia Artificial
    Es importante contar con protección ante amenazas con base a comportamiento y uso de machine learning, ya que en casos como el presentado puede no existir la firma para la amenaza por algún vendor especifico, pero el comportamiento será identificado ya que el abrir un Notepad y ejecutar lectura/escritura de todos los archivos no es un comportamiento común.
  • Backups
    Si todo falla, los respaldos podrán brindarnos una opción adicional. La recomendación aquí es mantener tus respaldos bajo el esquema 3,2, 1.
  • Gestión de privilegios en equipos de cómputo
    Al controlar los privilegios de las aplicaciones en las PCs podemos evitar que las mismas realicen acciones que pueden impactar a los equipos, cómo es el cifrado de datos.

¡TIP! Lleva a cabo una estrategia de prevención para Ransomware para minimizar riesgos

Felipe-Sanchez-Linkedin

Llevar cabo estas buenas prácticas te ayudará a minimizar la superficie de ataque por Ransomware, incluso te servirá para evitar infecciones por otro tipo de ataques. Si crees que con los controles y configuraciones que tienes actualmente estas cubierto, toma en cuenta que el completar un análisis sobre tu postura de seguridad te ayudará a identificar y evaluar los componentes de riesgo en la infraestructura de la organización con respecto a los procesos de negocio, el factor humano y el uso de tecnologías.

Si quieres complementar tu estrategia contra el ransomware para cerrar los gaps existentes o necesitas más información ¡Habla con uno de nuestros especialistas!

Nueva llamada a la acción

 

Topics: PrevencionRansomware, Victima de Ransomware, ransomware variantes, tips importantes para protegerte de ransomware, CCleaner, descarga maliciosa, winrar, REvil Ransomware, Sodinokini Ransomware, Sintomas del Ransomware


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?

Acerca de Smartekh

Creemos en en el poder que tiene la tecnología para hacer a las empresas más competitivas, desarrollar estrategias de seguridad de alto nivel y profesionales de TI expertos.

Creando sinergia entre tecnología, análisis y consultores expertos; generamos y complementamos la estrategia de seguridad con los más altos niveles de calidad, optimizando el desempeño y la operación del negocio.

Y lo hacemos de la mano de los líderes del sector TI, con un obsesivo compromiso a acelerar su éxito en cada paso al camino.

¿Listo para conocernos? ->

No te pierdas lo mejor de Smartekh

Contacto

[fa icon="phone"]  55 5047 1030

[fa icon="envelope"]  informacion@smartekh.com

[fa icon="home"]  Heriberto Frías 1451 Int. 101, Benito Juárez CDMX 03100

[fa icon="facebook-square"]Facebook [fa icon="linkedin-square"]Linkedin [fa icon="twitter-square"]Twitter [fa icon="pinterest-square"]Pinterest

Copyright 2024 | Diseñado con [fa icon="heart"] a la Seguridad por Smartekh
[fa icon="chevron-up"]Back to top