Ir al home de Widefense
Contenido Widefense Ciberdefesa

Derechos reservados Widefense ®  2021

El contenido es para fines informativos. Los enlaces a sitios de terceros se incluyen para tu conveniencia y no implican relación legal. Es posible que estos sitios difieran en estándares de privacidad, seguridad o accesibilidad.

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram
  • Kenneth Daniels

Observatorio de Amenazas de Widefense detecta variante del ransomware Sodinokibi

La semana pasada, nuestro Observatorio de Amenazas detectó una nueva variante del ransomware Sodinokibi que ha estado afectando a distintos clientes en la región del Asia Pacífico. 

El ransomware Sodinokibi (también conocido como Sodin o REvi) ha infectado a miles de clientes a través de proveedores de servicios de seguridad administrados (MSSP). 

De igual manera, esta amenaza también explotó vulnerabilidades del día cero en servicios remotos como Oracle WebLogic (CVE-2019-2725) y empleó campañas masivas de spam para proliferar durante los últimos meses.

En esta ocasión, la amenaza utiliza una vulnerabilidad en archivo win32k.sys; sin embargo, el parche liberado por Microsoft en octubre de 2018 cubre esta vulnerabilidad, por lo que aquellos usuarios que tengan sus dispositivos actualizados no corren riesgos. 

Vale destacar que este ransomware Sodinokibi puede pasar al modo de 64 bits, y cambiar repetidamente desde y hacia 32/64 Modo-bit mientras se ejecutan partes del código de explotación.

https://unsplash.com/photos/uv5_bsypFUM. El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

Evidencia recabada 

Nuestro Observatorio de Amenazas identificó los siguientes hash asociados a esta amenaza, los cuales recomendamos bloquear:MD5e6566f78abf3075ebea6fd037803e176SHA256861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08SHA25606b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851

Lee más: Por qué los hackers reutilizan el malware
El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.


¿Cómo prevenirlo?

Asegúrate de que tu antivirus bloquea y detecta esta amenaza. Herramientas como Cylance, antivirus de última generación detectan este ransomware debido a su modelo matemático que permite efectuar el análisis y bloqueo por comportamiento.

Para los clientes administrados por el equipo de Widefense, por su parte, se procedió a bloquear los hash a nivel de antivirus.

Es importante tener en cuenta que los atacantes propagan este malware a través de Go2Assist en modalidad de servicio.

En concreto, el Observatorio de Amenazas de Widefense recomienda: 

  1. Utilizar antivirus de nueva generación

El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero.

Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, pues estas son capaces de proteger el equipo aún cuando este no se encuentre conectado a la red.

  1. Asegurar su cobertura

Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.

  1. Usar herramientas de colaboración y asistencia

Asegúrese de que la empresa opera con herramientas de asistencia remota válidas y corporativas. 

Solicita una asesoría gratuita en www.widefense.com/contacto o contacta ahora a uno de nuestros especialistas  (+562) 2816 9000

#antimalware #Cylance #edr #endpoint

1 visualización