TOP Malware Series: REvil Ransomware

Actualizado: jun 30



¿Qué es REvil ?


REvil también conocido como Sodinokibi opera bajo modalidad RaaS (Ransomware-as-a-Service), visto por primera vez en Abril de 2019 luego de que los atacantes explotaran masivamente una vulnerabilidad en servidores Oracle WebLogic. Su objetivo principal es encriptar la información en el mayor numero de equipos para luego exigir un rescate económico por la recuperación de los activos digitales.

Si la organización o la victima se niega a pagar el rescate, los operadores del Ransomware realizaran una subasta de los activos secuestrados, la que se gestiona en el blog oficial "Happy Blog". Una actividad muy similar a Maze Ransomware.


REvil es un ransomware sofisticado y complejo en su estructura de desarrollo. Se le han encontrado similitudes con otro Ransomware bajo el nombre de GandCrab y se tiene la sospecha de que fue creado por el mismo grupo de ciberdelincuentes. La gran diferencia que existe actualmente con estos dos Ransomware es que REvil está mucho más actualizado.

Algunas Empresas Afectadas


Características de Sodinokibi

  • Cifra los archivos utilizando curve25519/Salsa20 y las keys con curve25519/AES-256-CTR.

  • Roba información personal y de la organización.

  • Si la victima se niega a pagar, los datos son publicados y/o subastados en Internet.

  • Tiene una lista blanca. Es decir, dependiendo de como tengas configurado el teclado no se activara el ransomware.

  • Explota vulnerabilidad CVE-2018-8453 para obtener privilegios en el sistema.


Distribución de REvil


Al principio, se observó que el Ransomware REvil (Sodinokibi) se propagaba explotando una vulnerabilidad en el servidor WebLogic de Oracle. Sin embargo, similar a otras variantes de Ransomware, REvil es lo que se denomina Ransomware-as-a-Service (RaaS), donde un grupo de personas mantiene el código y otro grupo denominado como afiliados, difunde el Ransomware por diferentes plataformas y campañas de correo spam masivo.

Los datos del sistema y del usuario se transmitirán a una amplia lista de dominios web, muchos de los cuales parecen completamente reales, posiblemente sitios web con WordPress comprometidos (generalmente Wordpress y/o plugin desactualizados), muchos de los cuales se pueden incluir para ocultar la dirección web real de C&C de REvil.


Flujo de Infección

Fuente: McAfee.com

Objetivos Geográficos de REvil


REvil ha estado presente en múltiples países desde sus inicios de actividad a fines de junio del 2019, registrando más antecedentes de activación y migración en Estados Unidos y países de la Unión Europea. De igual manera, se han registrado incidentes informáticos en diversos países como Chile, Argentina, México, Perú, Colombia, Venezuela, Sur de África y Asía.

Fuente: https://www.mcafee.com


Lista blanca del Ransomware (Teclado):

  • Ruso

  • Rumano

  • Ucranio

  • Bielorruso

  • Estonio

  • Letón

  • Lituano

  • Tayiko

  • Persa

  • Armenio

  • Azerbaiyano

  • Georgiano

  • Kazajo

  • Kirguís

  • Turcomanos

  • Uzbeko

  • Tártaro

Indicadores de Compromiso


Hashes


1638D7CE9E804CD3E017FE2D8EFFA0D0D48AA74BAA93C8C50F1927BC25FCD281

140F831DDD180861481C9531AA6859C56503E77D29D00439C1E71C5B93E01E1A

8CE3102732DA4319441D537B9D36F99945BBC76DF0ABC2D3238201CA02B7B85F

FD54E670991BA50F4C9BFD6FB995FA62DA88EBC5ABDD691B2CEE302B3B2549FF

6FF970F1502347ACD2D00E7746E40FBA48995ABBE26271D13102753C55694078

CB0373B35ABF4B089BE60E714EE415D3491DDC2CFFCFB45B84A87A3A106C822F

10D24CE42D973516EBEC5ABAD7D0E927C162BA313244992D398E40716AE10ED6

42208518C4769A94CE941B073F118FC88A4C99602BB47D3C3082E903B5EC9648

DD5D924287C449916696424DA479BA122A70C5F4B419D9856B036E030C22DE00

774354FE16764FA513052FF714048858CB315691599A08D13BA56BE1C796A16D 1B2328A7703EEA4443C4F61043CE0A3EB4B0AA95A1843DA170FB019256ED8BD9 29E5DA1F13DE425E105F065BE573793C41E5BF693CF874CDAAC69BD85C499DFD ADAEE1097AA4CF10B29B41D768483A9D587FB29B85EF3CA3AE26BBABF5829B92 B613526B093B8FF750F04B920B307DBD340B1787B006A9689184D22BD348DF33 CC0372AB1ABA3269D4AAB5A6AE0F0CB25138302DC7FA36DB19FE7E1A9AD2E2D9 AFBB37A3FF2187905A09403D8D42F11B64B06F2A8918AD520B202ABFB5559D02 4667251CBCC59FF16F6BA2CA25F78B30E88747C9D978841793265AA931119ABA AC3E29E3C35138E857BFFBC8CF5F8414B71C5694E7E13ABE59620D2BDE408887 1DC818F51827D89A545493921F8648299F3EB367C1E0354969CCAA9DF7CE77B5 0ECB96D743327C4DA91708D5DB3EABC2DE16202CCF2D90738519EBDA596586D1

e884e634fce8bb9a0c7ef01803b56195ee6f815e2582fac42625a8f36ce676b5


Dominios (C2):


101gowrie[.]com

123vrachi[.]ru

12starhd[.]online

1kbk[.]com[.]ua

1team[.]es

2ekeus[.]nl

321play[.]com[.]hk

35-40konkatsu[.]net

365questions[.]org

4net[.]guru

4youbeautysalon[.]com

8449nohate[.]org


CVE usados por REvil / Sodinokibi

  • CVE-2019-2725

  • CVE-2018-8453


Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social