Ransomware de Sodin – cifra y elimina copias de seguridad

Sodin, es un nuevo ransomware que puede activarse de forma remota, cifra los datos y elimina las copias de seguridad, apareció en la primera mitad de 2019 y se está extendiendo activamente por Asia,Europa, América del Norte y América.

Heaven’s Gate

Además, el ransomware Sodin utiliza una técnica conocida como “Heaven’s Gate“, que permite que un programa malicioso ejecute código de 64 bits a partir de un proceso de ejecución de 32 bits, lo que lo hace aún más difícil de detectar.

Los investigadores dijeron que creen que dicha técnica se usa en Sodin para dificultar el análisis del código malicioso porque no todos los depuradores (examinadores de código) admiten esta técnica y, por lo tanto, no pueden identificarla.

Vulnerabilidades donde se propaga

Lo que lo distingue es el uso de tres vulnerabilidades conocidas para propagarse:

• Oracle WebLogic: (CVE-2019-2725) que le permite ejecutar los comandos de PowerShell y actuar como un dropper para el servidor.
• MSP (también conocido como proveedor de servicios administrados), que permiten al atacante conectarse de forma remota con altos privilegios a la computadora de la víctima.
• Vulnerabilidad de Windows (CVE-2018-8453) para escalar privilegios en la máquina.

Misma modalidad de rescate

Los autores de Sodin centraron todos sus esfuerzos en cifrar datos y exigir un rescate, en especial. Este ataque debería servir como un recordatorio de que las copias de seguridad por sí solas ya no son suficientes para protegerse contra la pérdida de datos, especialmente si las organizaciones exponen credenciales privilegiadas a los atacantes. Esto significa que las organizaciones pueden tener que elegir entre la pérdida completa de datos y el pago del rescate.

¿Cómo protegerse?

Eliminar la capacidad del atacante para acceder a las contraseñas, que permitan el acceso remoto a cualquier destino. Use la autenticación de dos factores siempre que sea posible. Los atacantes que distribuyen Sodin no esperan encontrar una oportunidad; buscan a propósito, varios métodos de distribución de malware a través de los proveedores de MSP.  El acceso RDP, debe usarse solo como último recurso.