Somos compatibles con navegadores, no con dinosaurios. Actualice el navegador para ver correctamente el contenido de esta página web.

¿No sabe cuál es la solución de seguridad adecuada para su empresa?

¿Qué es el ransomware Sodinokibi (REvil)?

Sodinokibi, también conocido como REvil o Ransomware Evil, fue identificado por primera vez en 2019 y se ha desarrollado como una operación privada de ransomware como servicio (RaaS), que probablemente se originó en Rusia. Casi de inmediato se pudo ver el gran alcance y la eficacia de Sodinokibi, ya que se convirtió en el cuarto tipo de ransomware más frecuente en sus primeros cuatro meses.

El enfoque de RaaS en la distribución implica que muchas personas han tenido acceso al código del ransomware, lo que ha dado lugar a una amplia gama de variantes y a ataques cada vez más agresivos desde diferentes vectores, incluyendo el spam y los ataques a servidores. Esto lo convierte en una forma particularmente peligrosa de ransomware.

Este artículo analiza los orígenes de Sodinokibi, cómo funciona y qué se puede hacer para proteger su red contra él.

Pruebe Avast Business Hub GRATIS durante 30 días

Todas las empresas merecen la mejor ciberseguridad. Descargue Avast Business Hub y pruébelo sin riesgos durante 30 días.

¿Qué es el ransomware Sodinokibi/REvil?

Sodinokibi se ofrece en formato de ransomware como servicio (RaaS), lo que quiere decir que se utilizan afiliados para distribuir el ransomware, y los desarrolladores y los afiliados se reparten el dinero obtenido por el pago de los rescates. Comparte similitudes con el conocido código de los famosos grupos de hackers DarkSide y GandCrab, que parecen estar detrás de hasta el 40 % de las infecciones de ransomware en todo el mundo.

El virus suele distribuirse por medio de técnicas de phishing, que engañan a los usuarios para que abran archivos maliciosos camuflados como archivos adjuntos de correo electrónico, documentos y hojas de cálculo.

Este tipo de malware se centra en ataques de ransomware de alto perfil contra grandes organizaciones y figuras públicas con la intención tanto de conseguir cuantiosos pagos de rescate como de publicar información privada en el propio blog del grupo. Los ciberdelincuentes han usado Sodinokibi para:

¿Quién está detrás del ransomware Sodinokibi?

El origen de los creadores del ransomware ha sido difícil de determinar. Al principio, los ataques parecían centrarse en Asia, pero pronto surgieron en Europa. Una de las regiones que no ha sufrido ataques es Rusia, lo que hace pensar que es allí donde se originó el malware.

Una operación en la que participaron 17 países se saldó con la detención de cinco sospechosos relacionados con Sodinokibi/REvil. En enero de 2022, las autoridades rusas anunciaron que el grupo había sido desmantelado.

A pesar de que se trata de una noticia positiva, no significa que la amenaza haya desaparecido. Debido al estilo de distribución del ransomware y a las relaciones de su creador con otros grupos, el código de Sodinokibi se podría seguir utilizando o modificando para orientarlo a nuevos vectores de ataque.

¿Cómo funciona el ransomware Sodinokibi?

Uno de los principales desafíos que plantea el ransomware Sodinokibi es su detección. Gran parte de su código está enmascarado o cifrado, lo que dificulta su identificación por parte de los escáneres antivirus. Esto pone de manifiesto la importancia de establecer una estrategia de seguridad integral multicapa que combine la formación, las mejores prácticas y el software para identificar las potenciales amenazas lo antes posible.

En esta sección se analizará detenidamente el proceso de ataque para ayudar a los usuarios a comprender mejor el funcionamiento del ransomware.

Si desea obtener más información sobre otros tipos de ransomware de alto perfil, consulte nuestras guías sobre Phobos y WannaCry.

1. Inicialización del ransomware

El ataque comienza asegurándose de que es el único proceso que se ejecuta en el dispositivo de destino. A continuación, ejecuta exploits para identificar las vulnerabilidades provocadas por la falta de parches de seguridad. Una vez hecho esto, el siguiente paso es cambiar sus permisos de acceso para obtener privilegios completos de administrador. Después, se reiniciará en el modo de administrador.

A continuación, se analiza el sistema en busca de identificadores de idioma. En el código se incluye una lista de exención que identifica los países por el idioma del dispositivo para que el ransomware no ataque a dispositivos de los países de Europa del Este. Esta información ayudó a los investigadores a descubrir que el grupo de hackers operaba desde Rusia.

A continuación, se eliminan los archivos del sistema de copias de seguridad de Windows (Shadow Copies) y se utiliza el editor de políticas de arranque para desactivar los modos de recuperación. A continuación, se analiza el sistema en busca de carpetas de copia de seguridad, que se eliminan y sobrescriben para que sea imposible recuperarlas.

1. Inicialización del ransomware

2. Generación e intercambio de claves

Las claves de cifrado se crean por pares: una disponible públicamente y la otra en poder del atacante. Sin ambas claves, recuperar los datos robados resulta casi imposible. Sodinokibi utiliza un algoritmo de generación e intercambio de claves conocido como curva elíptica Diffie-Hellman (ECDH).

2. Generación e intercambio de claves

3. Cifrado

Sodinokibi usa dos tipos de cifrado:

  • Para cifrar la clave privada y para transferir datos mediante las redes se utiliza AES.
  • Para cifrar los archivos de los usuarios se usa Salsa20.

Los documentos del usuario se recogen de todos los archivos que no se han marcado como exentos y se cifran con Salsa20, lo que genera una clave única para cada archivo. Queda claro qué archivos se han cifrado, ya que el ransomware añade una extensión de archivo a cada uno de los archivos afectados.

Ahora, la operación preparará los datos para su envío al servidor del atacante.

3. Cifrado

4. Demandas

Después de cifrar el archivo, se crea una nota de rescate y se coloca en la misma carpeta. Este proceso se repite en cada carpeta que contenga archivos cifrados. En el ransomware Sodinokibi se incluye una plantilla que se actualiza automáticamente con la identificación del usuario y otra información importante, incluida una clave.

4. Demandas

Descifrado de Sodinokibi

La nota de rescate proporciona instrucciones claras para que los usuarios puedan recuperar sus datos. Entre estas, se incluye instalar el navegador TOR, visitar un enlace único e introducir una clave.

En esa página es donde se presentan los detalles del rescate. Los usuarios deben pagar para descargar el software de descifrado y se les da un plazo para hacerlo. Si no se respeta el plazo, el precio se duplica. Se exige que el pago se realice en bitcoines.

4. Demandas

En septiembre de 2021, se anunció que las empresas de ciberseguridad y las fuerzas del orden de Estados Unidos habían creado una clave de descifrado universal y gratuita que podría devolver los archivos a cualquier empresa que hubiera sido atacada antes del 13 de julio de 2021. Sin embargo, resulta fundamental que utilice una herramienta de protección contra el ransomware para proteger los datos de su empresa contra nuevos ataques, ya que no se garantiza que la clave funcione en los cifrados que tengan lugar después de esta fecha.

Protección contra el ataque REvil

Al tratarse de una forma tan variada y peligrosa de ransomware, los usuarios empresariales deben asegurarse de que su red y sus dispositivos están protegidos contra la amenaza de un ataque del ransomware Sodinokibi/REvil. Los pasos esenciales a seguir son:

  • Actualizar periódicamente los sistemas. Las vulnerabilidades son una vía común de acceso a los sistemas, por lo que es esencial que los parches, las correcciones y las actualizaciones se apliquen tan pronto como se encuentren disponibles.
  • Impartir formación sobre ciberseguridad al personal. El error humano es una de las principales causas de las filtraciones de datos. Para evitarlo, proporcione formación al personal de todos los niveles de la empresa. El cuestionario de ciberseguridad de Avast Business y el recurso de aprendizaje ayudarán a evaluar los conocimientos básicos del tema y a identificar las áreas en las que se necesita más formación.
  • Guardar un copia de seguridad de los datos. Como su nombre indica, los ataques de ransomware están pensados para robar datos y revendérselos a sus propietarios. Disponer de copias de seguridad remotas y protegidas permite que los datos y documentos vitales permanezcan seguros y accesibles, incluso si ocurriera lo peor.
  • Controlar el acceso. Los permisos de acceso se deben limitar estrictamente a aquellos que necesitan un acceso directo. Audite los permisos de toda la empresa para asegurarse de que los privilegios de administrador se mantienen al mínimo, lo que reducirá el acceso a los controles de la red en caso de que se vulnere la cuenta de un usuario.
  • Adoptar las mejores prácticas de seguridad. Otra forma de proteger los datos de la empresa es asegurarse de que se aplican las mejores prácticas de seguridad. Esto debería incluir la exigencia de usar contraseñas seguras, un proceso para detectar la actividad sospechosa y acuerdos de trabajo remoto para garantizar que los dispositivos estén actualizados y seguros. Todos los dispositivos conectados a la red de la empresa deben disponer de software de protección contra el ransomware y escáneres de malware para contribuir a detectar y eliminar el ransomware.
  • Realizar inspecciones periódicas y evaluaciones de la vulnerabilidad. Los registros de eventos se deben revisar con regularidad para detectar y evaluar rápidamente cualquier actividad inusual, por ejemplo, una gran actividad fuera de las horas de trabajo.
  • Disponer de un plan de respuesta. La planificación de desastres es clave para la protección de las empresas, y eso se extiende al mundo digital. Asegúrese de que se realizan periódicamente simulacros de ataque, de que el personal sabe con quién debe ponerse en contacto en caso de un ataque de ransomware y de que existe un plan de continuidad del negocio (BCP) para que la empresa pueda seguir funcionando tras un ataque

Protéjase contra el ransomware Sodinokibi

Puede que los miembros del grupo que hay detrás del ransomware Sodinokibi/REvil hayan sido detenidos en enero de 2022, pero su malware es solo uno de los muchos que existen. Proteja a su empresa frente a una amplia variedad de ataques con Avast Business Hub, nuestra plataforma de seguridad para pymes integrada y basada en la nube.

Cerrar

¡Ya casi hemos terminado!

Complete la instalación haciendo clic en el archivo descargado y siguiendo las instrucciones.

Iniciando la descarga...
Nota: si su descarga no se inicia automáticamente, por favor, haga clic aquí.
Haga clic en este archivo para comenzar a instalar Avast.