El ransomware Sodinokibi vuelve con fuerza. ¿Cómo enfrentarse a él?

  • Actualidad

Sodinokibi es una de las amenazas que está generando más impacto en el inicio de 2020, siendo Travelex una de sus víctimas más recientes. Proteger los endpoints, actualizar el sistema y realizar copias de seguridad remotas, son algunas pautas para evitar la acción del malware.

2020 arrancó con la noticia de que Travelex, la empresa británica especializada en el intercambio de divisas, había sufrido un acceso no autorizado en sus sistemas, sus archivos de habían cifrado y se habían eliminado todas las copias de seguridad. A cambio de devolverle toda esa información, se exigía un pago de 6 millones de dólares, que no pagó.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Según se supo después, la compañía tenía una serie de vulnerabilidades en sus servidores VPN Pulse y no había solucionado la brecha, que sirvió de puerta de entrada para Sodinokibi, un ransomware descubierto en abril de 2019 que surgió como una evolución de GandGrab, otro ransomware habitual de varios ciberataques, especialmente insertado dentro de campañas de phishing en grandes empresas. De hecho, los supuestos responsables del ataque a Travelex reconocieron en un foro haber cogido el código de GandGrab para crear Sodinokibi.

Sodinokibi parte de la vulnerabilidad CVE-2019-2725 hallada en los servidores de las aplicaciones Oracle WebLogic para encriptar los archivos del usuario infectado. Por si la encriptación no fuera suficiente, además el ransomware se encarga de acceder a todos los backups y copias de seguridad y eliminarlos por completo. De este modo, el afectado no podrá volver a una versión anterior para recuperar toda la información que albergaban sus equipos. Para terminar, los ciberdelincuentes entran en contacto con la empresa afectada y le piden el pago de una cifra millonaria a cambio de volver a liberar los archivos y restaurarlos en el sistema.

Las víctimas idóneas de este ransomware son las grandes compañías e instituciones públicas, que, por su estructura, tienen mucha más información que otras compañías menores, dicha información es mucho más delicada, y se asume que la empresa en cuestión tiene dinero suficiente como para poder afrontar el pago de un rescate millonario, al margen de que finalmente lo haga o no. Para evitar este dilema, Cytomic aconseja a las empresas y organizaciones tomar algunas medidas a fin de evitar la acción de Sodinokibi:

--Proteger los endpoints. Los endpoints son siempre la puerta de acceso de cualquier ciberataque, con lo que su protección es esencial. En este sentido, Cytomic EPDR integra tecnologías preventivas en el endpoint, con capacidades EDR y el Servicio Zero-Trust Application, que permiten anticiparse, detectar y responder a cualquier tipo de malware conocido y desconocido, ataques sin archivos y sin malware.

--Actualizar el sistema. Gran parte del problema de Travelex se debió a que no habían actualizado el sistema tras el descubrimiento de vulnerabilidades ya conocidas, con lo que dicha actualización es imprescindible.

--Backups remotos. Teniendo en cuenta que Sodinokibi destruye todas las copias de seguridad que pueda haber en los dispositivos y en el sistema, sus potenciales víctimas deberán contar con backups remotos a los que nadie pueda acceder.

--Concienciación. Al margen de tecnologías y detalles operativos, la concienciación de los empleados es una de las patas fundamentales para evitar que sean víctimas de casos de phishing, que son la primera vía de acceso para este ransomware.

En 2019 Sodinokibi ya causó multitud de perjuicios. Por ejemplo, en el Instituto Municipal de Empleo y Fomento Empresarial de Zaragoza, donde los servidores quedaron infectados y sus cerca de 70 empleados se quedaron con el trabajo paralizado. Entre sus víctimas también destacan varios ayuntamientos del Estado de Texas, el aeropuerto de Nueva York o más recientemente la compañía Artech Information Systems.

Todo ello sugiere la tendencia de que las incidencias con este ransomware podrían aumentar en los próximos meses. Por tanto, las empresas e instituciones públicas deben tomar todas las medidas de prevención descritas.

TAGS Ransomware