Blog

TOP Malware Series: REvil Ransomware

Revil

Actualizado: 16 de sep de 2020

¿Qué es REvil?

REvil (también conocido como Sodinokibi) es un ransomware de origen Ruso que opera bajo modalidad RaaS (Ransomware-as-a-Service) lo que significa que mientras un grupo se encarga del desarrollo y actualización del código, otros grupos denominados «afiliados» se encargan de la distribución.

La primera muestra de REvil fue visto por primera vez en Abril de 2019, luego de que los atacantes explotaran masivamente una vulnerabilidad en servidores Oracle WebLogic. Su objetivo principal es cifrar la información en el mayor numero de equipos para luego exigir un rescate económico por los activos digitales.

Si la organización o la víctima se niega a pagar el rescate, los operadores del Ransomware realizaran una subasta de los activos secuestrados, la que se gestiona en el blog oficial «Happy Blog». Una actividad muy similar a Maze y otras 12 familias de ransomware.

REvil es un ransomware sofisticado y complejo en su estructura de desarrollo. Se le han encontrado similitudes con otro Ransomware bajo el nombre de GandCrab y se tiene la sospecha de que fue creado por el mismo grupo de ciberdelincuentes. La gran diferencia que existe actualmente con estos dos Ransomware es que REvil está mucho más actualizado.

Características de Sodinokibi

  • Cifra los archivos utilizando curve25519/Salsa20 y las keys con curve25519/AES-256-CTR.
  • Roba información personal y de la organización.
  • Si la victima se niega a pagar, los datos son publicados y/o subastados en Internet.
  • Tiene una lista blanca. Es decir, dependiendo de como tengas configurado el teclado no se activara el ransomware.
  • Explota vulnerabilidad CVE-2018-8453 para obtener privilegios en el sistema.

Distribución de REvil

Al principio, se observó que el Ransomware REvil (Sodinokibi) se propagaba explotando una vulnerabilidad en el servidor WebLogic de Oracle. Sin embargo, similar a otras variantes de Ransomware, REvil es lo que se denomina Ransomware-as-a-Service (RaaS), donde un grupo de personas mantiene el código y otro grupo denominado como afiliados, difunde el Ransomware por diferentes plataformas y campañas de correo spam masivo.

Los datos del sistema y del usuario se transmitirán a una amplia lista de dominios web, muchos de los cuales parecen completamente reales, posiblemente sitios web con WordPress comprometidos (generalmente WordPress y/o plugin desactualizados), muchos de los cuales se pueden incluir para ocultar la dirección web real de C&C de REvil.

Flujo de Infección

Fuente: McAfee.com

Lista blanca del Ransomware (Teclado):

  • Ruso
  • Rumano
  • Ucranio
  • Bielorruso
  • Estonio
  • Letón
  • Lituano
  • Tayiko
  • Persa
  • Armenio
  • Azerbaiyano
  • Georgiano
  • Kazajo
  • Kirguís
  • Turcomanos
  • Uzbeko
  • Tártaro

Recomendaciones de Seguridad

  • Instale una solución EDR con la capacidad de detener los procesos detectados y aislar sistemas en la red, según las condiciones identificadas.
  • Bloquee los C2 conocidos del atacante en el firewall e implemente los IOC’s en las distintas soluciones de seguridad.
  • Solicite un examen forense para identificar la raíz del incidente.
  • Comprenda el flujo de ataque a través del cual el actor de la amenaza pudo obtener acceso a la infraestructura, es importante para prevenir futuros incidentes a través del mismo vector de ataque.
  • Realice un restablecimiento de contraseña global. Se sabe que los actores de amenazas que operan estas familias de ransomware obtienen credenciales del sistema.
  • Implemente una política de contraseñas seguras y obligue a los usuarios a cambiar las contraseñas al menos cada 90 días.
  • Implemente la autenticación multifactor (MFA o 2FA).
  • Si no es necesario, elimine los puertos RDP vulnerables expuestos a Internet.
  • Bloquee los eventos de múltiples intentos de conexión SMB de un sistema a otro en la red durante un corto período de tiempo.
  • Realice un monitoreo de la Darkweb periódicamente para verificar si los datos de la organización están disponibles para vender en el mercado negro.
  • Realice Pruebas de Penetración y Ethical Hacking.
  • Implemente las actualizaciones de seguridad y mantenga el software de la compañía actualizado.
  • Monitoree las conexiones a la red desde ubicaciones sospechosas.
  • Monitoree las descargas y subidas de archivos durante horas no habituales, especial atención cuando el origen es el controlador de dominio.
  • Realice un descubrimiento continuo de activos, puertos y servicios expuestos a Internet.
  • Monitoree los escaneos de red de servidores para servicios específicos como RDP, FTP, SSH y SMB.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Indicadores de Compromiso:

Hashes
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URL’s

adv-asp[.]com.br/video[.]php
lolizi[.]com/video[.]ph
villalormeraie[.]com/video[.]php

Dominios

  1. 101gowrie(.)com
  2. 123vrachi(.)ru
  3. 12starhd(.)online
  4. 1kbk.com(.)ua
  5. 1team(.)es
  6. 2ekeus(.)nl
  7. 321play.com(.)hk
  8. 35-40konkatsu(.)net
  9. 365questions(.)org
  10. 4net(.)guru
  11. 4youbeautysalon(.)com
  12. 8449nohate(.)org
  13. DupontSellsHomes(.)com
  14. aakritpatel(.)com
  15. aarvorg(.)com
  16. abitur-undwieweiter(.)de
  17. abl1(.)net
  18. abogadoengijon(.)es
  19. abogados-en-alicante(.)es
  20. abogadosaccidentetraficosevilla(.)es
  21. abogadosadomicilio(.)es
  22. abuelos(.)com

CVE usados por REvil / Sodinokibi

  • CVE-2019-2725
  • CVE-2018-8453

Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Medios Relacionados

Artículos relacionados

Share on facebook
Share on linkedin
Share on twitter
Share on email
Share on whatsapp

Artículos Relacionados

Invitación

Invitación: DevSecOps Spain 2021

Como ya muchos de nosotros sabemos, DevOps es un conjunto de prácticas y herramientas que combinan el desarrollo de software

Últimos Artículos

Últimos Tweets

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad