valerybrozhinsky - stock.adobe.c

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Sodinokibi emerge como una amenaza diversa multivectorial para las empresas

McAfee comparte información sobre la campaña de ransomware Sodinokibi obtenida de su red de honeypots.

El altamente peligroso ransomware Sodinokibi está siendo explotado por grupos afiliados de varios países, utilizando múltiples métodos de distribución específicos, según la evidencia producida por el equipo de Investigación Avanzada de Amenazas (ATR) de McAfee.

Desde que se identificó por primera vez en el laboratorio de Cisco Talos en abril de 2019, Sodinokibi, también conocido como ReVIL, se ha convertido en una de las amenazas de ransomware más activas y peligrosas.

En septiembre, los investigadores de SecureWorks afirmaron con un alto grado de confianza que estaba siendo creado y ejecutado por el mismo grupo responsable del ransomware GandCrab, y dijeron que los tenían "prácticamente con las manos en la masa". Esto confirmó investigaciones anteriores del investigador de seguridad Brian Krebs.

En una serie de publicaciones de blog en las últimas semanas, el equipo de ATR de McAfee ha estado compartiendo información sobre los métodos utilizados por los afiliados que usan Sodinokibi y, según la analista Jessica Saavedra-Morales, se descubrió que los grupos se sintieron atraídos por su red de honeypots "como las polillas a una llama".

En la última publicación de blog publicada, Saavedra-Morales reveló que diferentes afiliados estaban usando varios métodos de ataque diferentes.

Estos incluyeron la distribución de Sodinokibi a través de spear phishing y documentos armados; archivos por lotes que descargan cargas útiles de Pastebin y las inyectan en procesos en el sistema operativo de destino; comprometer los protocolos de escritorio remoto (RDP) y usar archivos de script y herramientas para descifrar contraseñas para distribuirlo a través de la red de destino; y comprometer a los proveedores de servicios gestionados de TI (MSP) utilizados por las víctimas y utilizar sus sistemas para difundirlo.

El equipo de ATR ejecutó varios honeypots RDP entre junio y septiembre de 2019, y observó que varios grupos los comprometían, lo que luego podía monitorear, desconectando a los actores en el momento en que las acciones criminales estaban preparadas o a punto de ejecutarse.

Sus honeypots atrajeron a actores de direcciones IP de todo el mundo, pero el equipo de ATR observó que, al igual que GandCrab, Sodinokibi pone en la lista negra los idiomas persa (farsi) y rumano, lo que significa que no se ejecutará si encuentra cualquiera de esos dos idiomas instalados en la máquina de una víctima. Esto sugeriría que un gran número de afiliados se encuentran en Irán y Rumania.

El proveedor también compartió algunas ideas sobre lo que los desarrolladores de Sodinokibi han estado haciendo con el dinero del rescate al vincular publicaciones en foros clandestinos con rastros de transferencia de bitcoin – descubriendo, en el proceso, más evidencia de su relación con GandCrab– y siguió las transacciones vistas desde una billetera afiliada prometedora .

McAfee descubrió que los rescates de Sodinokibi oscilaban entre 0,44 y 0,45 bitcoin, con un promedio de $ 4.000 (€ 3.580 / £ 3.080). En un período de 72 horas, generó $ 287.499 en pagos de rescate, una estadística basada en una lista compartida en línea por un actor.

Se descubrió que el afiliado objetivo estaba recibiendo dinero transferido a través de la moneda Coinbase, como lo indica la nota de rescate, luego de lo cual pagaron algunas tarifas a un servicio, pero también enviaron algo de bitcoin a un mezclador subterráneo llamado Bitmix.biz para ofuscar las siguientes transacciones, lo que hace que sea más difícil vincularlo a la billetera final.

También se observó algunos ejemplos en los que los afiliados estaban comprando servicios en Hydra Market, un mercado clandestino ruso que ofrece una serie de servicios y productos ilegales, incluidas las drogas, pagados en bitcoin.

Saavedra-Morales ofreció una guía sobre cómo proteger su negocio de Sodinokibi, destacando la importancia de una estrategia de defensa en capas.

Como se demostró, los actores a los que nos enfrentamos compran, empujan por fuerza bruta o hacen phishing para meterse en su empresa o utilizan un tercero de confianza que tiene acceso a su red, escribió.

“Algunas pautas para que las organizaciones se protejan incluyen el uso de sandboxing, copia de seguridad de datos, educación de sus usuarios y restricción de acceso”.

Siempre y cuando soportemos el modelo de ransomware, el ransomware existirá como lo ha hecho durante los últimos cuatro años. No podemos luchar solos contra el ransomware y tenemos que unirnos como partes públicas y privadas. McAfee es uno de los socios fundadores de NoMoreRansom.org y está apoyando a las agencias de aplicación de la ley de todo el mundo en la lucha contra el ransomware".

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close