Sodinokibi

El sábado un importante banco a nivel nacional ha sido afectado por un malware de tipo Ransomware y hoy lunes mantiene casi la totalidad de las sucursales cerradas.

Según últimas informaciones el ransomware en cuestión se cono como REvil o Sodinokibi.

REvil es un malware de tipo Ransomware-as-a-Service (RaaS), donde un grupo de personas mantiene el código y otro grupo conocido como afiliados, difunde el Ransomware por diferentes plataformas y campañas de correo spam masivo, originalmente explotaba vulnerabilidades de Oracle WebLogic pero que también puede afectar plataformas por otros medios y vulnerabilidades.

Dominios (C2):

  • 101gowrie[.]com
  • 123vrachi[.]ru
  • 12starhd[.]online
  • 1kbk[.]com[.]ua
  • 1team[.]es
  • 2ekeus[.]nl
  • 321play[.]com[.]hk
  • 35-40konkatsu[.]net
  • 365questions[.]org
  • 4net[.]guru
  • 4youbeautysalon[.]com
  • 8449nohate[.]org

CVE usados por REvil / Sodinokibi

  • CVE-2019-2725
  • CVE-2018-8453

Recomendaciones de seguridad

Asegurar que los parches de seguridad para CVE-2019-2725 y CVE-2018-8453 están correctamente aplicados.
Asegurar que sus clientes entiendan los riesgos de seguridad y se mantengan vigilantes a las actividades en la web.
No abrir ni descargar adjuntos de correos sospechosos.
No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
Evitar abrir mensajes enlazados o archivos en redes sociales.
Ante cualquier actividad anormal debe reportar inmediatamente a la mesa de ayuda o responsable técnico.
Realice un bloqueo preventivo de los dominios sindicados como maliciosos.

Más detalles en:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-what-the-code-tells-us/

https://blog.intel471.com/2020/03/31/revil-ransomware-as-a-service-an-analysis-of-a-ransomware-affiliate-operation/