Análisis de malware

Destacado malware: Sodinokibi

9 de abril de por Greg Belding

Introducción

El ransomware no es nuevo en este momento y estará con nosotros en el futuro previsible, ya que constantemente surgen nuevos tipos de ransomware. Y, a veces, el nuevo ransomware tiene un gran impacto rápidamente.

Sodinokibi es una de esas variedades de malware que debe tomarse en serio. ¡A los cuatro meses de su descubrimiento, logró convertirse en el cuarto ransomware más común en Internet!

Este artículo le proporcionará una visión de alto nivel del ransomware Sodinokibi. Exploraremos qué es, cómo se propaga, cómo funciona y otra información útil sobre este ransomware.

¿Qué es Sodinokibi?

Sodinokibi fue descubierto originalmente en abril de por Cisco Talus y a veces se lo conoce como Sodin y REvil. Este ransomware como servicio (RaaS) se dirige a los sistemas operativos Windows. Originalmente se descubrió explotando una vulnerabilidad de Oracle WebLogic y se ha observado que solo afecta a países fuera de los antiguos estados de la URSS.

Parte de lo que hace que Sodinokibi sea tan interesante es su origen. Esto se remonta al final de la campaña GandCrab, que se ha ganado la fama de ser responsable del 40% de todas las infecciones de ransomware en todo el mundo. Este ransomware, al igual que Sudinokibi, era un RaaS, y la banda cibercriminal detrás de él contaba con ganancias de más de 2 mil millones de dólares recaudados de los pagos de rescate de las víctimas.

Los administradores de GandCrab habían anunciado su retiro, que aparentemente era un retiro del propio GandCrab y no de sus campañas para obtener riquezas mal habidas. En cambio, cambiaron su atención a Sodinokibi, que ha sido descrito como un plan “extremadamente lucrativo” para sus autores.

Cabe señalar que técnicamente aún no se sabe si Sodinokibi es la creación de la pandilla GandCrab, pero hay algunos indicadores clave de que efectivamente lo es. Para empezar, los investigadores han observado una clara superposición de códigos entre Sodinokibi y GandCrab. Esto ha llevado a los investigadores de la firma de seguridad Secureworks a concluir que los grupos detrás de las dos familias de ransomware “se superponen o están vinculados”.

Otra conexión interesante es que se ha identificado que antiguos afiliados de GandCrab gastan Bitcoin que recibieron de los pagos de rescate de Sodinokibi en Hydra Market. Hydra es un infame mercado ruso de ciberdelincuencia donde los ciberdelincuentes intercambian bienes y servicios ilícitos por Bitcoin. Si bien esto todavía no es una prueba definitiva de que los autores de los dos ransomware sean los mismos, es probable que estas conexiones no sean mera coincidencia.

¿Cómo se propaga Sodinokibi?

Este ransomware se propaga a través de muchos métodos diferentes, incluidas campañas de spam, kits de explotación, proveedores de servicios administrados, protocolos de escritorio remoto y VPN sin parches. En abril de se descubrió que varias instancias se habían colocado en servidores y sistemas comprometidos con archivos zip que contenían scripts maliciosos (JavaScript) a través de un enlace malicioso en correos electrónicos, lo que arroja luz sobre un método de propagación de ransomware bastante convencional que requería la interacción del usuario.

Unos meses más tarde, Sodinokibi se difunde principalmente a través de su red de afiliados RaaS que no requiere interacción del usuario. Cabe señalar que, al momento de escribir este artículo, Sodinokibi no se autopropaga actualmente.

La eficacia de Sudinokibi se debe en parte al hecho de que los archivos zip de Sodinokibi tienen una tasa de detección muy baja en VirusTotal. Esto significa que la mayoría de los productos antivirus no marcarán las cargas útiles iniciales como maliciosas. Como tal, el primer nivel de defensa para la mayoría de las organizaciones se evitará por completo, que puede ser todo lo que se necesita para establecer la proverbial cabeza de playa en una máquina.

¿Cómo funciona Sodinokibi?

Una vez instalado Sodinokibi, se pone a funcionar inmediatamente. El ransomware comienza creando un archivo .txt con la ruta de los archivos cifrados, con una extensión aleatoria seguida de -HOW-TO-DECRYPT.txt. Luego se emiten comandos para eliminar las instantáneas de volumen, así como para deshabilitar la reparación de inicio de Windows.

Luego, Sodinokibi cifra los archivos en una computadora comprometida y agrega una extensión aleatoria en cada archivo cifrado que es única para la computadora. Estas extensiones incluyen una lista considerable de extensiones como .Jpeg, .Jpg, .tif, .raw, .bmp, .png, .max, .3dm, .db, .accdb, .mdb, .dxf, .dwg, . cs, .cpp, .asp, .php, .java, .gif y más. Este proceso se realiza sin que el usuario tenga conocimiento del mismo hasta lo que sucede a continuación.

Cuando se completa el cifrado, es cuando el mundo del usuario da un vuelco. Sodinokibi cambia el fondo del escritorio a una nota de rescate que le dice al usuario cuánto Bitcoin se necesitará para descifrar sus archivos importantes; Esta cantidad puede variar, pero se puede esperar entre 0,32 y 0,41 Bitcoin. A veces ascienden a millones de dólares si la organización víctima está bien establecida y tiene mucho dinero. Esta nota de rescate también contiene instrucciones sobre cómo el usuario puede descifrar sus archivos, incluidos enlaces a un sitio web donde puede realizar el pago del rescate y claves únicas.

Vulnerabilidades que explota

Como se mencionó anteriormente, Sodinokibi puede propagarse explotando vulnerabilidades. Si bien esta no es una lista exclusiva, algunos de sus favoritos para explotar son:

• CVE–2725: Una vulnerabilidad que afecta a Oracle WebLogic Server
• CVE–8453: Esta es una vulnerabilidad de un componente Win32k.sys que involucra escalada de privilegios

Conclusión

Sodinokibi es un ejemplo prolífico de ransomware que rápidamente se ha establecido como una de las familias de ransomware más comunes en Internet hoy en día, y si consideramos su capacidad para eludir la primera capa de protección de seguridad de la información utilizada por muchas organizaciones, estamos analizando potencialmente relativamente pronto.

Lo bueno es que las medidas estándar de capacitación en ciberseguridad ayudarán a evitar que este ransomware lo afecte y obligue a su organización a pagar miles o incluso millones de dólares para descifrar sus archivos importantes.

Fuentes

1. Analizando la amenaza del ransomware Sodinokibi , Cyware News
2. Sodinokibi: el príncipe heredero del ransomware , Cybereason
3. Una VPN sin parches convierte a Travelex en la última víctima del ransomware “REvil” , Ars Technica
4. La pandilla Sodinokibi Ransomware parece estar haciendo una matanza , seguridad de la información bancaria