Ransomware Sodinokibi/REvil

Europol detiene 5 sospechosos del grupo Ransomware ruso Sodinokibi/REvil

En el marco de una operación internacional Europol informo sobre la captura de cinco sospechosos de pertenecer al
grupo cibercriminal responsable del envio de ataques masivos que comprometieron al menos 7.000 sistemas informaticos durante los dos últimos años. Algunas de las victimas fueron ubicadas en Colombia. Los cibercriminales
exigian mas de 231 millones de dólares en concepto de rescates.


Investigaciones forenses digitales permitieron establecer que mediante el envio de correos maliciosos y campañas de
spam, publicidad maliciosa (navegación web en sitios infectados) y ataques de fuerza bruta (Remote Desktop Protocol) RDP, los atacantes podian aprovechar entre otras vulnerabilidades, la conocida bajo el codigo CVE-2019-2725 que afecta a sistemas Oracle WebLogic Server de Oracle Fusion Middleware (parche disponible desde el 26 de abril de 2019)

Fuente: Europol

Sodinokibi estaba diseñado para poder mantener persistencia en el sistema atacado, ya que incluía código para ello. Cuando esta opción estaba activada en su configuración, se incluía en el registro de Windows alguna clave a tal fin, como pueden ser las que se muestran a continuación:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[codigo]
  • HKCU\SOFTWARE\Microsoftv\Windows\CurrentVersion\Run[codigo]

En donde código se corresponde con un identificador que dependerá de la compilación del ransomware. Fuente INCIBE

C2USER recomienda:

  • Realizar una copia completa de los discos y servidores con la información cifrada y proceder a la descarga de la herramienta de descifrado disponible para REvilSodinokibi Ransom en el sitio especializado en la lucha contra el ransomware No More Ransom https://www.nomoreransom.org/es/decryption-tools.html
  • Evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación. El método más rápido y fácil de hacerlo, es restituir los equipos e información, una vez erradicado el código malicioso, reinstalando tanto sistemas operativos como otro software y restaurando los datos desde la copia de seguridad no afectada más reciente.
  • Realizar una Evaluación del Nivel de Madurez de Ciberseguridad le puede ayudar a identificar los ciber-riesgos de manera temprana y definir un plan de ciberseguridad para remediarlos o mitigarlos según su escala de criticidad.
El DANE, víctima de un ataque cibernético

El Departamento Administrativo Nacional de Estadística (Dane) denunció el día 10 de noviembre que su página web
fue objeto de un ataque informático sin precedentes en el que se perdieron, por lo menos, 200 teras de datos y se
vieron afectados 420 servidores.

Según Juan Daniel Oviedo, director de dicha entidad, este hecho ocurrió a altas horas de la noche del martes 9 de
noviembre cuando se recibió un mensaje de alerta asociado con la caída de uno de los servidores.

Una vez se detectó el problema, los ingenieros del Dane procedieron a desactivar el usuario desde el que se estaba
adelantando la eliminación de las máquinas y la información, después ingresaron al Data Store (almacenamiento de
datos) para asegurar la información, sin embargo, aparentemente, el atacante se encontraba borrando datos. Horas
después del trabajo de aislamiento del sistema para mitigar el ataque, se seguían detectando conexiones irregulares,
por lo que se realizó de igual manera una denuncia ante el Equipo de Respuesta a Incidentes de Seguridad
Informática de la Policía Nacional.

Los atacantes del sitio del Dane notificaron a la entidad desde el servidor secuestrado solicitando un pago de
25.000USD (96 millones de pesos colombianos aproximadamente). Además de esta solicitud, el presunto
responsable envió correos a las cuentas del Dane adjudicándose el ataque a las plataformas donde afirmó que tenía .
un total de 130 teras de datos de la entidad, por lo que pedía hablar con la dirección para devolver la información que
había obtenido.

Más de diez días después de realizado este ataque informático, no hay rastros de un responsable. Hasta ahora es una operación fantasma. La Fiscalía no descarta una posible complicidad al interior de la entidad y se estima que la
investigación durará al menos un mes para arrojar datos claros.


La denuncia indica que la infraestructura tecnológica general de la entidad se vio bajo una afectación grave, vulnerando la operación del Dane en el país con información sensible dentro de la página web, el correo electrónico
institucional, sistemas de procesamiento estadístico y bases de datos. También hay afectaciones en el backup (copias
de seguridad) y en al menos 420 servidores de la entidad.

Este ataque es conocido bajo la modalidad de Ransomware en el que se secuestran los datos de las víctimas para obtener dinero a cambio.

C2USER RECOMIENDA

  • Realizar una copia completa de los discos y servidores con la información cifrada.
  • Evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación. El método más rápido y fácil de hacerlo, es restituir los equipos e información, una vez erradicado el código malicioso, reinstalando tanto sistemas operativos como otro software y restaurando los datos desde la copia de seguridad no afectada más reciente.
  • Realizar una evaluación del Nivel de Madurez de Ciberseguridad le puede ayudar a identificar los ciber riesgos de manera temprana y definir un plan de Ciberseguridad para remediarlos o mitigarlos según escala de criticidad y demás.
Ransomware: la otra pandemia

El ransomware es una tipología de malware en continua evolución, este impide el acceso a la información de un dispositivo con el objetivo de cobrar a la víctima por un rescate en un determinado plazo bajo la amenaza de destruir o filtrar esos datos.

El boom del Ransomware continúa

El aumento de incidentes relacionados con Ransomware durante la pandemia, en términos de número de ataques, rescates exigidos y pagados, parece que continuará hasta 2022.

En 2020 y 2021, como desenlace del grande volumen de compañías a nivel mundial que optaron por realizar el pago de rescate que demandan los ataques de ransomware, los cibercriminales han realizado mayores inversiones en el desarrollo de nuevas técnicas de ataque, derivando en ataques cada vez más sofisticados y en el crecimiento de esta industria, que aunque es ilícita, no deja de ser profesional.

Algunas de las nuevas técnicas y tendencias en torno a esta amenaza son:

De cara al futuro, los entornos corporativos deben ser conscientes de estos riesgos y asegurarse que cuentan con las soluciones adecuadas para prevenir la mayoría de los ataques, incluidos los más avanzados.

C2USER RECOMIENDA

C2USER recomienda a las compañías y sus CISO’S centrarse en los riesgos que representan estas amenazas emprendiendo actuaciones encaminadas a neutralizar y eliminar los efectos de un ataque de ransomware.

  • Prevención mediante acciones de sensibilización contra ransomware.
  • Neutralización preventiva del ransomware mediante actuaciones de naturaleza reactiva y proactiva.
  • Asistencia de emergencia contra ataques en curso.
  • Asistencia posterior a los ataques con el objetivo de aumentar la seguridad y la capacidad de respuesta ante estos incidentes.