Ransomware REvil/Sodinokibi demuestra una fuerte presencia a nivel mundial

04 Mayo 2021
Crítico

Se ha evidenciado una fuerte campaña de Ransomware Revil/Sodinokibi la que junto con afectar a empresas de EE.UU. y Europa también involucra a empresas del área LATAM. 

El 28 de abril el Tribunal de Justicia del Estado de Rio Grande do Sul, en Brasil, fue víctima del ransomware, el cual junto con otros indicadores lo vinculan a actividades en el cono sudamericano confirmando con esto la importante presencia que tiene, tal cual como lo mencionamos en nuestro reciente boletín: “Panorama de Ransomware primer trimestre 2021”
 

Empresas Publicadas 

REvil también conocido como Sodinokibi o Sodin es una familia de ransomware que opera como ransomware-as-a-service (RaaS) y que se ha atribuído el compromiso de varias entidades durante los primeros días de mayo:

  • El productor de cobre con sede en Arizona ASARCO LLC en asarco .com una subsidiaria de propiedad total de Grupo México.
  • El fabricante de medios de filtración de ingeniería especializada Lydall Inc., con sede en Connecticut, en lydall[.]com
  • El fabricante de equipos de inspección y automatización industrial con sede en Alemania, Keyence Deutschland GmbH, en el sitio web keyence[.]de.
  • El bufete de abogados JHK Legal con sede en Australia en jhklegal.com[.]au,
  • El proveedor de servicios de seguros con sede en Canadá Galon Insurance en galoninsurance.ca 
  • El fabricante de aditivos para plásticos con sede en Nueva Jersey, Estados Unidos, Amfine Chemical Corp., en el sitio web amfine[.]com. 
     

Análisis de nueva campaña

Debido a la capacidad de Ransomware-as-a-Service (RaaS), REvil es altamente configurable y permite a los operadores personalizar la forma en que se comporta en el host infectado. 
 

Características y modus operandi: 

  • Puede aprovechar una vulnerabilidad de escalamiento de privilegios del kernel para obtener privilegios de sistemas de Windows, utilizando CVE-2018-8453. 
  • Genera un archivo .txt con una nota de rescate en cada directorio cifrado. 
  • Cambia los nombres de los archivos cifrados, anexando una extensión alfanumérica entre 5 y 10 caracteres de longitud.
  • Utiliza mecanismos de persistencia en el sistema.
  • Elimina procesos y servicios específicos antes del cifrado. 
  • Cifra archivos en almacenamiento local y de red. 
  • Personaliza el nombre y el cuerpo de la nota de rescate.
  • Genera una imagen .bmp en el directorio temporal establecido como fondo del escritorio después del cifrado. 
  • Elimina los puntos de restauración del sistema, a través de la ejecución de un comando en PowerShell ofuscado en base 64.
  • Extrae información cifrada del host infectado hacia los controladores remotos usando Hypertext Transfer Protocol Secure (HTTPS) para comunicarse con ellos. Estos controladores son sitios comprometidos y controlados por los grupos maliciosos detrás de la ejecución de estas campañas. 
  • Los pagos pueden llegan a solicitar +US$7.000.000 de dólares.

 

Ejecución de comando PowerShell ofuscado en Base64, que elimina los puntos de restauración del sistema:


Cambio del fondo de pantalla:


 

Algunas vulnerabilidades explotadas asociadas a las campañas:

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

El listado de las CVE se adjunta a continuación:


Tags: #Sodinokibi #Sodin #Ransomware #LATAM #REvil #CVE-2019-2725 #CVE-2018-8453


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.