Observatorio de Amenazas de Widefense detecta variante del ransomware Sodinokibi

La semana pasada, nuestro Observatorio de Amenazas detectó una nueva variante del ransomware Sodinokibi que ha estado afectando a distintos clientes en la región del Asia Pacífico. 

 

El ransomware Sodinokibi (también conocido como Sodin o REvi) ha infectado a miles de clientes a través de proveedores de servicios de seguridad administrados (MSSP). 

 

De igual manera, esta amenaza también explotó vulnerabilidades del día cero en servicios remotos como Oracle WebLogic (CVE-2019-2725) y empleó campañas masivas de spam para proliferar durante los últimos meses.

 

En esta ocasión, la amenaza utiliza una vulnerabilidad en archivo win32k.sys; sin embargo, el parche liberado por Microsoft en octubre de 2018 cubre esta vulnerabilidad, por lo que aquellos usuarios que tengan sus dispositivos actualizados no corren riesgos. 

 

Vale destacar que este ransomware Sodinokibi puede pasar al modo de 64 bits, y cambiar repetidamente desde y hacia 32/64 Modo-bit mientras se ejecutan partes del código de explotación.

 

https://unsplash.com/photos/uv5_bsypFUM. El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 

Evidencia recabada 

Nuestro Observatorio de Amenazas identificó los siguientes hash asociados a esta amenaza, los cuales recomendamos bloquear:

 

MD5 e6566f78abf3075ebea6fd037803e176
SHA256 861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08
SHA256 06b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851

 

Lee más: Por qué los hackers reutilizan el malware

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 

¿Cómo prevenirlo?

Asegúrate de que tu antivirus bloquea y detecta esta amenaza. Herramientas como Cylance, antivirus de última generación detectan este ransomware debido a su modelo matemático que permite efectuar el análisis y bloqueo por comportamiento.

 

Para los clientes administrados por el equipo de Widefense, por su parte, se procedió a bloquear los hash a nivel de antivirus.

 

Es importante tener en cuenta que los atacantes propagan este malware a través de Go2Assist en modalidad de servicio.

 

En concreto, el Observatorio de Amenazas de Widefense recomienda: 

 

  • Utilizar antivirus de nueva generación

El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero.

 

Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, pues estas son capaces de proteger el equipo aún cuando este no se encuentre conectado a la red.

 

  • Asegurar su cobertura

Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.

 

  • Usar herramientas de colaboración y asistencia

Asegúrese de que la empresa opera con herramientas de asistencia remota válidas y corporativas. 

 

Solicita una asesoría gratuita en www.widefense.com/contacto o contacta ahora a uno de nuestros especialistas  (+562) 2816 9000