¿Qué es y cómo funciona el ransomware Sodinokibi?

En abril de 2019, el equipo de Cybereason Nocturnus encontró y analizó un nuevo tipo de ransomware denominado Sodinokibi. Este ransomware es muy evasivo y toma muchas medidas para evitar su detección por antivirus y otros medios. En este informe analizamos el ataque y el malware Sodinokibi, y ofrecemos recomendaciones de seguridad para que los defensores las tengan en cuenta al enfrentar este ataque.

¿Qué es el ransomware sodinokibi?

El ransomware Sodinokibi explota una vulnerabilidad de Oracle WebLogic para obtener acceso a la máquina del objetivo. Una vez que está dentro, el malware intenta implementarse con derechos legales de usuario elevados para acceder a todos los archivos, así como a los recursos del sistema sin restricciones.

Sodinokibi intenta mantenerse alejado de la contaminación de los sistemas informáticos de Rumania, Rusia, Ucrania, Bielorrusia, Estonia, Letonia, Lituania, Armenia, Georgia, Irán, Siria, Azerbaiyán, Kazajstán, Kirguistán, Tayikistán, Turkmenistán, Uzbekistán, la mayoría de ellos anteriormente formaban parte de la URSS.

Este ransomware utiliza AES y también el algoritmo Salsa20 para encriptar los datos individuales, AES se utiliza para encriptar los secretos de la sesión y también los datos que se envían al servidor de control, los datos individuales se encriptan utilizando la seguridad Salsa20. Sodinokibi utiliza un algoritmo de intercambio crucial Diffie-Hellman de curva elíptica para crear y también proliferar claves de cifrado.

Una vez que se infiltra en un dispositivo, borra cada uno de los documentos en la carpeta de respaldo.

Actualmente, el ransomware necesita 0.32806964 Bitcoin (2500 dólares) para reclamar la accesibilidad a los documentos cifrados. Declaran que esta cantidad debe pagarse dentro de los cuatro días o la demanda de rescate aumentará.

¿Cómo se propaga?

Sodinokibi tiene varios métodos para incorporarse a tu sistema. Sin embargo, estas son las filtraciones comunes a través de las cuales puede inyectarse en tu PC:

• instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware
• enlace dudoso en correos electrónicos no deseados que conducen al instalador Sodinokibi
• recursos de alojamiento gratuito en línea
• utilizando recursos ilegales entre pares (P2P) para descargar software pirateado.

Hubo casos en que el virus Sodinokibi se disfrazó como una herramienta legítima, por ejemplo, en los mensajes que exigían iniciar un software no deseado o actualizaciones del navegador. Por lo general, esta es la forma en que algunos fraudes en línea pretenden forzarte a instalar el ransomware Sodinokibi de forma manual, haciéndote participar directamente en este proceso.

Seguramente, la alerta de actualización falsa no indicará que realmente vas a inyectar el ransomware Sodinokibi. Esta instalación se ocultará bajo alguna alerta que te indique que deberías actualizar Adobe Flash Player o algún otro programa dudoso.

En resumen, ¿qué puedes hacer para evitar la inyección del ransomware Sodinokibi en tu dispositivo? Aunque no hay una garantía del 100% para evitar que tu PC se dañe, hay ciertos consejos que quiero darte para evitar la penetración de Sodinokibi. Debes tener cuidado al instalar software libre.

Asegúrate de leer siempre lo que ofrecen los instaladores además del programa gratuito principal. No abras archivos adjuntos dudosos de correo electrónico. No abras archivos de destinatarios desconocidos. Por supuesto, tu programa de seguridad actual debe estar siempre actualizado.

Síntomas de un ordenador infectado por Sodinokibi

Los sistemas infectados con el ransomware Sodinokibi muestran los siguientes síntomas:

• Modificación del fondo de escritorio.  Igual que hace otro tipo de ransomware, Sodinokibi modifica el fondo de escritorio de los sistemas afectados con un aviso en el que se indica a los usuarios que sus archivos han sido encriptados. El fondo de pantalla tiene un fondo azul, con el texto.
• Presencia de nota de ransomware.  El  archivo -readme.txt al que hace referencia es la nota de rescate que viene con cada ataque de ransomware. En esa nota se establecen las instrucciones sobre cómo los afectados pueden realizar el pago del rescate y cómo se realizará el descifrado.
• Archivos cifrados con un nombre de extensión de 5 a 8 caracteres.  Sodinokibi cifra ciertos archivos en unidades locales con el algoritmo de cifrado Salsa20, con cada archivo renombrado para incluir una extensión alfanumérica que tiene de cinco a ocho caracteres de longitud. El nombre de la extensión y la cadena de caracteres incluidos en el nombre del archivo de la nota de rescate son los mismos.
• Se suprimen las copias de seguridad de instantáneas y se desactiva la herramienta de reparación de inicio de Windows. El primero es una instantánea de un volumen que duplica todos los datos que se mantienen en ese volumen en un instante bien definido en el tiempo. La herramienta de recuperación se usa para solucionar ciertos problemas de Windows. La eliminación de instantáneas evita que los usuarios puedan restaurar desde una copia de seguridad cuando encuentran que sus archivos están encriptados por ransomware. Deshabilitar la herramienta de reparación de inicio impide la corrección de errores del sistema causados ​​por una infección de ransomware.

¿Qué empresas se han visto afectadas por este malware?

A finales de 2019, mientras que la mayor parte del mundo estaba preparando sus celebraciones de Nochevieja, Travelex se enfrentaba a un devastador ataque de ransomware. En las primeras horas del 31 de diciembre, la compañía de cambio de divisas fue golpeada con Sodinokibi, una cepa de ransomware potente y altamente sofisticada que encriptaba archivos comerciales clave y dejaba archivos readme en las computadoras infectadas.

Estos archivos readme instruyeron a Travelex a pagar un pago de seis cifras en bitcoin a través de un dominio de nivel superior registrado en China. Los piratas informáticos dirigieron al personal de Travelex a un sitio web que solicitaba a los usuarios ingresar una clave de acceso que desbloqueara instrucciones sobre cómo pagar el rescate.

El ataque hizo que los sitios web de Travelex en 20 países fueran inaccesibles y dejó sus puntos de venta de aeropuertos sin acceso a Internet o correo electrónico. Los informes afirman que las computadoras que contienen información confidencial, como nombres de clientes y detalles de cuentas bancarias, se han infectado con el virus. El ataque de Soninokibi no solo interrumpió las operaciones de Travelex; También causó interrupciones en bancos como Barclays, Virgin Money y Sainsbury’s.

Por otro lado, una compañía llamada CivicSmart de Milwaukee que vende parquímetros inteligentes fue atacada por el ransomware Sodinokibi, y los atacantes lograron robar una gran cantidad de datos que luego utilizaron para un mayor apalancamiento.

El ataque CivicSmart fue perpetrado con el ransomware Sodinokibi y siguió a la extracción de 159 gigabytes de datos. Por lo general, este tipo de acción provino de atacantes que usan Maze, pero parece que ahora también están siendo empleados por otros grupos.

Según los informes iniciales, los datos filtrados incluían registros de empleados, extractos bancarios, números de tarjeta de crédito de clientes e incluso contratos con ciudades y vendedores de aparcamientos. La compañía permaneció en silencio y decidió pagar el rescate.

¿Cómo eliminar Sodinokibi?

El ransomware Sodinokibi es una amenaza avanzada de bloqueo de archivos que realiza una serie de modificaciones del sistema operativo Windows e incluso a veces puede dañar archivos vitales del sistema. Los actores de la amenaza detrás del malware mejoran constantemente las tendencias de infección y operación para expandir las campañas para obtener las máximas ganancias.

Como el virus del archivo Sodinokibi puede deshabilitar el software antimalware, acceder al Modo seguro con funciones de red podría ser la única forma de eliminar el malware sin muchas dificultades.

Iniciar equipos en modo seguro

Reinicia la máquina en modo seguro con funciones de red, para que el ransomware Sodinokibi pueda eliminarse correctamente.

En Windows 7 / Vista / XP:

• Haz clic en Inicio → Apagar → Reiniciar → Aceptar
• Cuando tu ordenador se active, comienza a presionar F8 varias veces hasta que veas la ventana Opciones de arranque avanzadas
• Selecciona Modo seguro con funciones de red de la lista

En Windows 10 / Windows 8:

• Presiona el botón de Encendido en la pantalla de inicio de sesión de Windows. Luego presiona y mantén presionada la tecla Mayús, y haz clic en Reiniciar
• Ahora selecciona Solucionar problemas → Opciones avanzadas → Configuración de inicio y finalmente presiona Reiniciar
• Una vez que tu ordenador se active, selecciona Habilitar modo seguro con funciones de red en la ventana Configuración de inicio

Después elimina Sodinokibi.

Inicia sesión en tu cuenta infectada e inicia el navegador. Descarga Reimage u otro programa legítimo anti-spyware. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenecen a tu ransomware y completa la eliminación de Sodinokibi.

Si tu ransomware está bloqueando el Modo seguro con funciones de red, prueba otro método.

Restaurar sistema

Utiliza Restaurar sistema para asegurarte de que el dispositivo se recupere en el estado anterior cuando el ransomware Sodinokibi no estaba en el PC.

Paso 1: Reinicia tu ordenador en modo seguro con símbolo del sistema (con los mismos pasos anteriores, según la versión de Windows utilizada).

Paso 2: Restaura los archivos y la configuración de tu sistema

• Una vez que aparezca la ventana del símbolo del sistema, introduce cd restore y haz clic en Enter.
• Ahora escribe rstrui.exe y presiona Enter nuevamente
• Cuando aparezca una nueva ventana, haz clic en Siguiente y selecciona el punto de restauración anterior a la infiltración de Sodinokibi. Después, haz clic en Siguiente
• Ahora haz clic en Sí para iniciar la restauración del sistema
• Una vez que restaures tu sistema a una fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de Sodinokibi se realice con éxito.

¿Cómo recuperar los archivos encriptados por Sodinokibi?

Si Sodinokibi cifra tus archivos, puedes usar varios métodos para restaurarlos:

• Data Recovery Pro es la alternativa a las copias de seguridad de archivos para archivos cifrados o datos borrados accidentalmente.
  • Descarga Data Recovery Pro
  • Sigue los pasos de la Configuración de recuperación de datos e instala el programa en tu ordenador
  • Ejecútalo y escanea tu ordenaodr en busca de archivos cifrados por el ransomware Sodinokibi
  • Restáuralos
• Cuando la restauración del sistema se habilita, puedes emplear versiones anteriores de Windows para el proceso de recuperación de archivos
  • Encuentra un archivo encriptado que necesitas restaurar y haz clic derecho sobre él;
  • Selecciona “Propiedades” y ve a la pestaña “Versiones anteriores”;
  • Aquí, verifica cada una de las copias disponibles del archivo en “Versiones de carpeta”. Debes seleccionar la versión que deseas recuperar y hacer clic en “Restaurar”.
• ShadowExplorer: un método para recuperar archivos cifrados
  • Descargar Shadow Explorer
  • Sigue un Asistente de configuración de Shadow Explorer e instala esta aplicación
  • Inicia el programa y ve al menú desplegable en la esquina superior izquierda para seleccionar el disco de tus datos cifrados. Verifica qué carpetas hay allí
  • Haz clic derecho en la carpeta que deseas restaurar y selecciona “Exportar”. También puedes seleccionar dónde deseas que se almacene.

¿Cómo proteger el equipo de Sodinokibi?

No hay una herramienta de descifrado Sodinokibi confiable disponible, por lo que la mejor manera de proteger tus datos de este malware es evitarlo.

¿Qué debes considerar al configurar tu prevención de ransomware?

En primer lugar, haz una copia de seguridad de tus datos. Hacer una copia de seguridad te permite restaurar esos datos en caso de un ataque de ransomware. Hay varias prácticas avanzadas que reducen en gran medida la posibilidad de infección: estrategia de copia de seguridad 3-2-1, versiones de copia de seguridad y otras.

En segundo lugar, aumenta la seguridad de tu copia de seguridad con un software adicional de protección contra ransomware. La mejor manera de evitar que tus copias de seguridad se corrompan es detener los ataques de ransomware lo antes posible. Es por eso que las herramientas avanzadas de detección de ransomware pueden ser útiles.

Otras medidas de prevención son:

• Mantener actualizado el sistema operativo y las aplicaciones. Aplica regularmente los parches y actualizaciones que los fabricantes de sistemas operativos y software lanzan periódicamente para corregir posibles vulnerabilidades que el malware explota para propagarse y ejecutarse en ordenadores obsoletos.
• Mantener siempre el software antivirus en ejecución y actualizado. El software antivirus está diseñado para detener la mayoría de las acciones intentadas por malware.
• Privilegios mínimos. Evita usar ordenadores con cuentas con privilegios de administrador. Asigna a los usuarios de esas cuentas los permisos mínimos requeridos para ejecutar los programas y llevar a cabo sus actividades. De esta forma, si se ejecuta el código malicioso, se limitará a los posibles cambios y acciones que intenta llevar a cabo en el ordenador infectado.
• Exposición mínima. Limita la exposición de la red interna de la compañía al exterior, a información o servicios que no necesitan ser accesibles desde el exterior. Las soluciones de firewall deben implementarse para definir el perímetro de la red interna y externa, y configurarse correctamente para permitir el acceso exclusivo a las aplicaciones y servicios necesarios.
• Instalación de aplicaciones de seguridad específicas. Implementación de aplicaciones específicas, como filtros antispam, para reducir el riesgo de infección. También hay programas que bloquean ciertos tipos de código, como Javascript, para evitar la ejecución de código no autorizado al visitar sitios web o abrir documentos maliciosos.
• Segregación de red. Segmentación de ordenadores y servidores de usuarios en diferentes subredes para limitar la propagación de incidentes. La separación de subredes debe hacerse a través de firewalls con reglas de filtrado de tráfico.
• Conciencia: las personas que usan dispositivos domésticos o corporativos deben ser conscientes de los riesgos involucrados en acceder a sitios sospechosos o intercambiar archivos de fuentes cuestionables, y deben tener pautas claras para identificar correos electrónicos que contengan contenido malicioso o referencias a sitios web que puedan contenerlos.

Últimas actualizaciones de este ransomware

Se ha agregado una nueva característica al ransomware Sodinokibi que le permite cifrar aún más los archivos de una víctima, incluidos los que se abren y bloquean mediante otro proceso.

Las bases de datos, los servidores de correo y algunas otras aplicaciones bloquearán los archivos que tengan abiertos para evitar que otros programas los modifiquen. Al bloquear estos archivos, los programas evitan que los datos que contienen se corrompan como resultado de dos procesos que se escriben en un archivo al mismo tiempo.

La versión 2.2 del ransomware Sodinokibi ahora contiene una característica que le permite usar la API del Administrador de reinicio de Windows para cerrar procesos o cerrar los servicios de Windows que mantienen los archivos abiertos durante el cifrado.