TOP Malware Series: REvil Ransomware

Actualizado: sep 16



¿Qué es REvil ?


REvil (también conocido como Sodinokibi) es un ransomware de origen Ruso que opera bajo modalidad RaaS (Ransomware-as-a-Service) lo que significa que mientras un grupo se encarga del desarrollo y actualización del código, otros grupos denominados "afiliados" se encargan de la distribución.


La primera muestra de REvil fue visto por primera vez en Abril de 2019, luego de que los atacantes explotaran masivamente una vulnerabilidad en servidores Oracle WebLogic. Su objetivo principal es cifrar la información en el mayor numero de equipos para luego exigir un rescate económico por los activos digitales.

Si la organización o la victima se niega a pagar el rescate, los operadores del Ransomware realizaran una subasta de los activos secuestrados, la que se gestiona en el blog oficial "Happy Blog". Una actividad muy similar a Maze y otras 12 familias de ransomware.


REvil es un ransomware sofisticado y complejo en su estructura de desarrollo. Se le han encontrado similitudes con otro Ransomware bajo el nombre de GandCrab y se tiene la sospecha de que fue creado por el mismo grupo de ciberdelincuentes. La gran diferencia que existe actualmente con estos dos Ransomware es que REvil está mucho más actualizado.


Características de Sodinokibi

  • Cifra los archivos utilizando curve25519/Salsa20 y las keys con curve25519/AES-256-CTR.

  • Roba información personal y de la organización.

  • Si la victima se niega a pagar, los datos son publicados y/o subastados en Internet.

  • Tiene una lista blanca. Es decir, dependiendo de como tengas configurado el teclado no se activara el ransomware.

  • Explota vulnerabilidad CVE-2018-8453 para obtener privilegios en el sistema.


Distribución de REvil


Al principio, se observó que el Ransomware REvil (Sodinokibi) se propagaba explotando una vulnerabilidad en el servidor WebLogic de Oracle. Sin embargo, similar a otras variantes de Ransomware, REvil es lo que se denomina Ransomware-as-a-Service (RaaS), donde un grupo de personas mantiene el código y otro grupo denominado como afiliados, difunde el Ransomware por diferentes plataformas y campañas de correo spam masivo.

Los datos del sistema y del usuario se transmitirán a una amplia lista de dominios web, muchos de los cuales parecen completamente reales, posiblemente sitios web con WordPress comprometidos (generalmente Wordpress y/o plugin desactualizados), muchos de los cuales se pueden incluir para ocultar la dirección web real de C&C de REvil.


Flujo de Infección

Fuente: McAfee.com

Lista blanca del Ransomware (Teclado):

  • Ruso

  • Rumano

  • Ucranio

  • Bielorruso

  • Estonio

  • Letón

  • Lituano

  • Tayiko

  • Persa

  • Armenio

  • Azerbaiyano

  • Georgiano

  • Kazajo

  • Kirguís

  • Turcomanos

  • Uzbeko

  • Tártaro



Recomendaciones de Seguridad


  • Instale una solución EDR con la capacidad de detener los procesos detectados y aislar sistemas en la red, según las condiciones identificadas.

  • Bloquee los C2 conocidos del atacante en el firewall e implemente los IOC’s en las distintas soluciones de seguridad.

  • Solicite un examen forense para identificar la raíz del incidente.

  • Comprenda el flujo de ataque a través del cual el actor de la amenaza pudo obtener acceso a la infraestructura, es importante para prevenir futuros incidentes a través del mismo vector de ataque.

  • Realice un restablecimiento de contraseña global. Se sabe que los actores de amenazas que operan estas familias de ransomware obtienen credenciales del sistema.

  • Implemente una política de contraseñas seguras y obligue a los usuarios a cambiar las contraseñas al menos cada 90 días.

  • Implemente la autenticación multifactor (MFA o 2FA).

  • Si no es necesario, elimine los puertos RDP vulnerables expuestos a Internet.

  • Bloquee los eventos de múltiples intentos de conexión SMB de un sistema a otro en la red durante un corto período de tiempo.

  • Realice un monitoreo de la Darkweb periódicamente para verificar si los datos de la organización están disponibles para vender en el mercado negro.

  • Realice Pruebas de Penetración y Ethical Hacking.

  • Implemente las actualizaciones de seguridad y mantenga el software de la compañía actualizado.

  • Monitoree las conexiones a la red desde ubicaciones sospechosas.

  • Monitoree las descargas y subidas de archivos durante horas no habituales, especial atención cuando el origen es el controlador de dominio.

  • Realice un descubrimiento continuo de activos, puertos y servicios expuestos a Internet.

  • Monitoree los escaneos de red de servidores para servicios específicos como RDP, FTP, SSH y SMB.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Indicadores de Compromiso:


Hashes


b10d9a62edb6081aa9f7fc865554064bb212555392b1181dc40040e12927f988

c8466c386261facf38ce62e75a8c6414affbfaed439e91fa00e515e079702fe0

bbcaee51155609d365f6bb297d124efea685df0243ec1d4efb5043d9afe5963d

9f79ea51439742e0888abd4273b62bcd247d1c72ea4f729ee870669a13f192c5

9b183afcfccc12af90f82c5f5b8a077bd8c77cf815c62e946a0dfdb4bc78847f

cbf87c3fce4c8608fcc1b1960cc4dc305addfdae889ee3998629d18d8ed2ee1c

1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111

b80b9aa14af3d1af9246b14855d717ef5bd3ad0c26978c312b74323a2da0dbe7

2253f5222ebad25243cd8e3d7ac416939a7cf4f52e991ee3bd6e2f2847d28faf

f1662bfebf68d8da9879fd50b41536078c0c06ed4616dc388ee78a30ce8ccd27

11aaccd9547fd5a71335f33ce8e48ba37381013e16d4e69d01aa4252cfb17a33

31f5e6d1e938023bbb9fe4f760eb068819e6707e0304d3a16a414103ba1c3cd2

63700da4a03a05b362337224c6245f09dd5e9d72312c600ea0b607107bc82ca0

daa70a3c21659eae084f570aaa66fe194d4cbce337815b460c40ab744583c762

2d82bc93b52caad80213eec95e897909c57d75d82a4aec9d1c2fbc204b7104ba

c0faf72bb6e93878eba4b86cac0e949336c971172071a89eb9af3ef768804282

37afe4a36a980dd0609f8e6ccfcfe037aa336d16e1ba811d926eed4050e595ec

d0bf90ab2e04be11a67d7901047a4d0adccc31b436feb4100a09f527a2fe751e

9fb4aca06e67c01e6ae8c11817428cfb8e9206d9bf2fe1126af8bfef3d16835f

da74221e6e6eee961014701cd7f8be3805b324a602264b6801e766c4991906be

443140ef94c80b615eeac17cf63580e85cceb57c6c417273a65872ffe0f712b2

995f0ee67d4fdf4e5182fd09d7d1084f35f863e08ac3989c7cf5174e6fe0333c

4cc16f4d2ae63db6a45e397a134fc8fa23d8ab1ec60610a46142403d40ef6454

bbf341ba4e7aec31155e16f82572f6022c413735e63f0550685846945ec95daf

7c9967af20cf6415b6d581d74efaf9e8f9181da92cba43d7b4056f7fab97c976

b831d550b25956a849594b8e00791edcec7d603ed28948259a8ec62f3ef1b21d

0390701032e3b623a9b43927c6374abcb2c040b343147d934cd0c91f638cf8b8

ed70847aeee2bd0df8f5787c4f580bf7b8e46d7f46b8f6e2bf082c4014c90261

d0fb6f4c608994c787f15ee3b5cc1297180687522ade080c07a708e55ce23de8

09e20223d059891d4712c1fd14423ac5aee9177bcb5e4c7e2d8778415f146499

a3cdb3929b4ad03371335e2cb854e5cfb61816821cd4fcb9807e4fac57f65ea4

f97175fdad804a02e6f24273b371184d816044eb2409dadaad683c07fd41e992

d91fb28bbaf54e85e5a87e608c2bb630e7be06815f17541d680823faab4a8fb5

e6af534b1dbee86e294e4110dd70a1dd089feef0c7e4c9946abac7b988fe7763

b2f393fc463cb2b9aaaec34ba98be049fb8d3e747fb61c30d3b7d21d58283d81

61fda8fce4674afd868ceeabd6172d2a6bc95d3b1dbaefaacd8e340cf024726f

4bb9def5bfdddcd575dd7b07800290b37304253979e0d2cc8ee38a52711fd327

c81a1bb8e9db03bf19883977aec6487b0d432635def4c9cc349c4153521542f4

250643c78220f6913f63f9afffc2f2178453b25551d0b0331f571b810e97d146

7f2290df275b8b87c0f8158afec08d1c5201f6112ab01e36ce7cd6fd01e1af6b

dad3431f42dd3bac7fa36ed24b40bfb6e8d7ccce71c325ee0c068e7b1a1de1ad

17b89590d4a732821269f81d0e2a307554a516aac41a25386a660efc31f11579

338b9b5ea11c502f5eab38c606740319ae6606e17e29106348cbddc312f0343c

c6bbcbd392e5828b0fd1130e4c27cf352415295b0428c6b1ce6707528cfa8502

4265b4461d213a6e99447fc255a5d4de9a18b92756cfb66a247472261ab01154

b7ae354e1227e211b73cbabd1989a86da6018d6abe756c2d16506aff46b3cfa2

6c8887bd717d98663f37f19edb72c350bd622b7112c0ade5fdabd9ba182c67f4

9e7dbf6b828e52dcbed4c6578a5269872ef1bef953efdac803854ee89535c24d

528e1df23dc41f9fe783edab41b3b89f47e9a34c265eb8406261b7bd92158040

f060508128cec81900681d00dcb87346d3f30c883b7a1cd657b93564963462ff

1de6b3564e9f9c57561559de76c7d07231fd0f564f9cf7e46613a722e22de015

4b24e4b296677a0f4de09f6ae3d676efd620fdb040b69c94b8e98f471f5a6454

0a0b908283ec320211e20527ebbb20cad17fc9a7058edfb33d302ec04ab0ac3b

a30e9d09d5962e56f958944acdd7de33e369acfade437743308202f9c975b52a

23a7f703f82e97ad99ba068099435185c7c3798bb468badb47182c615e31fa56

33f75e31c16b0386d8c155ef3ddf08a97106238ca554a2966f1032ae1e736214

aa6280916b0e8991871e59cba0933d41c20960b9d7763cd199e4e42398a094df

2dfcafe237c7b43332d888e8868c4a6c6d992453f9f66cac604903809037dbe4

2f5312ae2a1c8509265493a5082f6263e9bcd25fdabd97da21c68f3afb151d3c

ee0a18f121ccf96b1a346f5c6b4c69e735dea57b3f45977a139135d177b266b8

574dc0b771c37baca84b715a97dc31f9c1c50ea1c100c0711b9569f7746c9680

ee6d924628818e6a2fcdcd5b47953d2f55da0c5134516cbf97d1932b897d63ad

49e921914b6aaeff48e1eaeb31c4a38c5d369fa512a34d54665bf171c9b4a68f

14840130ab75587bc52c2f6cab5725e7d23fee87f2ae8b80921738632bd81182

aa48cbb39ba760613c102f08814685c742f92c7e34e357a9a81204170e28ddbc

7b7975cc04c6f440b04a5c9cd41aa8c86a0e6de72b8e8ddc75a6b0e142683a8d

909b520c493bd868b94e361035c425a343786cf06b935d3a01621dffd849e0fe

b627eb2aa0953cf6ca40071cd54f8f1d5b036302012adb69704c91a4320def1c

8ecdb6d0e67de0f44098ae8cb8697deaa6e0cc8c45a9cf77f862dbb30e5d2dba

71947b1bb929d72b0451f3810bcc0517c1d1816e927c62675821470ce7a51b0a

16e1978623ce9c48fd18bc77ff78af626b170c5ecfaf8bf3a2c511277040c826

f1cff858f5006ebdb0971652d0f2f36e7ed085fe13ecdaea1ce8384eaba702d7

da025ce7c0f6977da21a1b14de081d828b51ba0488783e042ca747fa96c040b6

1ba80558a948a2e2affe8cc0ac487be65c67eaa1f12acb87071ff34a95fc2f8a

bfaa65989845f239db78488783fa72ba55037da1af409376c4e1926d545506cc


URL's


adv-asp[.]com.br/video[.]php

lolizi[.]com/video[.]php

villalormeraie[.]com/video[.]php


Dominios


  1. 101gowrie(.)com

  2. 123vrachi(.)ru

  3. 12starhd(.)online

  4. 1kbk.com(.)ua

  5. 1team(.)es

  6. 2ekeus(.)nl

  7. 321play.com(.)hk

  8. 35-40konkatsu(.)net

  9. 365questions(.)org

  10. 4net(.)guru

  11. 4youbeautysalon(.)com

  12. 8449nohate(.)org

  13. DupontSellsHomes(.)com

  14. aakritpatel(.)com

  15. aarvorg(.)com

  16. abitur-undwieweiter(.)de

  17. abl1(.)net

  18. abogadoengijon(.)es

  19. abogados-en-alicante(.)es

  20. abogadosaccidentetraficosevilla(.)es

  21. abogadosadomicilio(.)es

  22. abuelos(.)com


CVE usados por REvil / Sodinokibi

  • CVE-2019-2725

  • CVE-2018-8453


Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Medios Relacionados



Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social