Investigadores de Cisco Talos descubrieron que atacantes están aprovechando una vulnerabilidad de ejecución remota de código (RCE) en Oracle WebLogic, para lanzar el ransomware Sodinokibi.
El fallo, que era un Zero-Day hasta el 26 de abril permite que cualquier persona conectarse remotamente a diferentes servidores HTTP vulnerables, para luego descargar el ransomware y cifrar sistemas de sus víctimas, con éxito. La infección comienza con una solicitud de HTTP POST que contiene el comando powershell o certutil para descargar y ejecutar archivos maliciosos. Al activarse la infección, se ejecuta vssadmin.exe y se agrega shadowstorage, que permite a Windows crear una copia de seguridad manual o automática. El ransomware intenta eliminar este mecanismo, para detener la recuperación de datos.
Finalmente, la nota de rescate pide a las víctimas visitar el sitio .onion y comprar un software de descifrado de archivos. Para ello, deben crear una billetera de criptomonedas con UD$2.500 y luego, transferir las bitcoins a la billetera de los atacantes, para poder descargar el software.
Se recomienda instalar cuanto antes la última actualización que lanzó Oracle el 26 de abril.
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Oracle WebLogic Server |
10.3.6.0 12.1.3.0 |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.