Ransomware Sodinokibi/REvil

Europol detiene 5 sospechosos del grupo Ransomware ruso Sodinokibi/REvil

En el marco de una operación internacional Europol informo sobre la captura de cinco sospechosos de pertenecer al
grupo cibercriminal responsable del envio de ataques masivos que comprometieron al menos 7.000 sistemas informaticos durante los dos últimos años. Algunas de las victimas fueron ubicadas en Colombia. Los cibercriminales
exigian mas de 231 millones de dólares en concepto de rescates.


Investigaciones forenses digitales permitieron establecer que mediante el envio de correos maliciosos y campañas de
spam, publicidad maliciosa (navegación web en sitios infectados) y ataques de fuerza bruta (Remote Desktop Protocol) RDP, los atacantes podian aprovechar entre otras vulnerabilidades, la conocida bajo el codigo CVE-2019-2725 que afecta a sistemas Oracle WebLogic Server de Oracle Fusion Middleware (parche disponible desde el 26 de abril de 2019)

Fuente: Europol

Sodinokibi estaba diseñado para poder mantener persistencia en el sistema atacado, ya que incluía código para ello. Cuando esta opción estaba activada en su configuración, se incluía en el registro de Windows alguna clave a tal fin, como pueden ser las que se muestran a continuación:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[codigo]
  • HKCU\SOFTWARE\Microsoftv\Windows\CurrentVersion\Run[codigo]

En donde código se corresponde con un identificador que dependerá de la compilación del ransomware. Fuente INCIBE

C2USER recomienda:

  • Realizar una copia completa de los discos y servidores con la información cifrada y proceder a la descarga de la herramienta de descifrado disponible para REvilSodinokibi Ransom en el sitio especializado en la lucha contra el ransomware No More Ransom https://www.nomoreransom.org/es/decryption-tools.html
  • Evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación. El método más rápido y fácil de hacerlo, es restituir los equipos e información, una vez erradicado el código malicioso, reinstalando tanto sistemas operativos como otro software y restaurando los datos desde la copia de seguridad no afectada más reciente.
  • Realizar una Evaluación del Nivel de Madurez de Ciberseguridad le puede ayudar a identificar los ciber-riesgos de manera temprana y definir un plan de ciberseguridad para remediarlos o mitigarlos según su escala de criticidad.