La imagen muestra un fondo azul con un texto centrado en letras blancas que muestra la palabra Sodinokibi (2019)

Última modificación: 2024-06-24

Historia de Sodinokibi (también conocido como REvil)

Sodinokibi, también conocido como REvil, es un ransomware as a service (RaaS) que surgió por primera vez en abril de 2019. Se sospecha que su desarrollo fue llevado a cabo por grupos de ciberdelincuentes vinculados con la desaparición del famosamente conocido ransomware GandCrab, que anunció su retiro justo antes de la aparición de REvil. Los operadores detrás de Sodinokibi emplearon un modelo de negocio de “Ransomware-as-a-Service", lo que significa que alquilaban o vendían el ransomware a otros criminales ("afiliados") que luego lo distribuían y compartían las ganancias con los desarrolladores.

Métodos de Infección

Sodinokibi utilizaba diversos vectores de ataque para infectar sistemas, haciendo que fuera particularmente efectivo:

  1. Exploits en Software Vulnerable: Los atacantes aprovechaban vulnerabilidades conocidas en software y sistemas operativos para acceder a redes. Por ejemplo, una vulnerabilidad en el servidor Oracle WebLogic fue uno de los vectores iniciales.

  2. Correos Electrónicos de Phishing: Los correos electrónicos “phishing” bien diseñados convencían a los usuarios de descargar archivos adjuntos maliciosos o de hacer clic en enlaces que ejecutaban scripts que descargaban el ransomware.

  3. Acceso por Fuerza Bruta: Los atacantes realizaban ataques de fuerza bruta para obtener credenciales de acceso a servidores RDP (Remote Desktop Protocol) y otros servicios expuestos a internet con contraseñas débiles.

  4. Kits de Explotación: Los kits de explotación como el RIG exploit kit y el GrandSoft exploit kit fueron utilizados para distribuir el ransomware aprovechando vulnerabilidades en navegadores y plugins como Flash.

  5. Dispositivos USB: En algunos casos, el ransomware también se desplegó a través de medios físicos como memorias USB infectadas.

Efectos y Consecuencias

Una vez que Sodinokibi infectaba un sistema, ejecutaba una serie de acciones para maximizar el daño y asegurar el pago del rescate:

  1. Cifrado de Archivos: Usaba algoritmos de cifrado de alta calidad, como AES (Advanced Encryption Standard) y RSA (Rivest-Shamir-Adleman), para cifrar archivos del sistema, haciendo los datos inaccesibles sin la clave de descifrado.

  2. Exfiltración de Datos: Antes de cifrar los archivos, el malware a menudo exfiltraba datos sensibles de la víctima y amenazaba con publicarlos en línea si no se pagaba el rescate, a esto se le llama doble extorsión.

  3. Eliminación de Copias de Seguridad: Solía eliminar Volumen Shadow Copies y otros respaldos en el sistema para dificultar la recuperación sin pagar el rescate.

  4. Interrupción de Operaciones: Al cifrar archivos críticos, el ransomware podía causar interrupciones significativas en las operaciones de negocios, afectando la continuidad del negocio y causando pérdidas económicas directas e indirectas.

  5. Mensajes de Rescate: El malware dejaba notas de rescate con instrucciones sobre cómo pagar el rescate en Bitcoin o Monero, y en algunos casos, proporcionaba servicio de soporte (chat en vivo) para facilitar el pago.

Mitigación y Respuesta

Combatir Sodinokibi requiere una combinación de estrategias preventivas y medidas de respuesta en caso de infección:

  1. Medidas Preventivas:

    • Actualización Regular de Software: Aplicar parches de seguridad y mantener sistemas actualizados para protegerse contra vulnerabilidades conocidas.
    • Seguridad en el Correo Electrónico: Implementar filtros de correo, educación en concientización sobre phishing, y utilizar autenticación multifactor (MFA) para accesos críticos.
    • Seguridad de Credenciales: Utilizar contraseñas robustas y administrar el acceso mediante políticas estrictas, incluyendo controles de acceso basado en roles.
    • Respaldos Regulares: Mantener copias de seguridad regularmente actualizadas y almacenadas en ubicaciones seguras fuera de la red principal.
  2. Medidas de Respuesta:

    • Aislamiento Inmediato: Desconectar los sistemas infectados de las redes para evitar la propagación.
    • Análisis Forense: Realizar un análisis forense para entender el vector de ataque y los sistemas comprometidos.
    • Restauración de Datos: Restaurar datos desde copias de seguridad intactas.
    • Notificación y Cumplimiento: Informar a las autoridades pertinentes y seguir las regulaciones sobre brechas de datos.
    • Evaluación de Impacto y Remediación: Evaluar el impacto total y tomar medidas para cerrar las vulnerabilidades explotadas.

Sodinokibi/REvil ha dejado un impacto significativo en el panorama de la ciberseguridad y continúa siendo una amenaza potente debido a su evolución continua y la sofisticación de sus métodos de ataque.




Colaboraciónes de nuestros usuarios

¿Tienes algo que agregar? ¡Déjanos tu colaboración!