Sodinokibi, el secuestrador de datos de las grandes compañías

El ransomware viene estafando a las principales organizaciones corporativas por millones de dólares, con importantes impactos colaterales a terceros.

En los últimos días volvió a hablarse del Sodinokibi, un agresivo ransomware que, desde su creación el año pasado, viene estafando a un nivel completamente nuevo a las principales organizaciones corporativas por millones de dólares, con importantes impactos colaterales a terceros. Las empresas deben ser conscientes de la amenaza que supone este tipo de extorsión y aplicar las medidas preventivas adecuadas dado que no se conoce cómo contrarrestar este ataque.

Como cualquier ransomware que logra infectar un equipo, Sodinokibi es capaz de encriptar archivos mediante una clave criptográfica, para posteriormente solicitar el pago de un rescate por ellos a la víctima. Además de la amenaza de no devolver los archivos encriptados, los atacantes también suelen intimidar a sus víctimas con revelarlos públicamente. La lista de damnificados por los ataques es extensa y se centra principalmente en objetivos corporativos que puedan afectar servicios provistos a clientes.

En lo que va del presente año podemos destacar una compañía de distribución de comida con sede en Michigan que suministra a las cadenas de grandes megamercados en todo EE.UU., un importante agente inmobiliario de dicho país, los operadores de línea fija más grandes de la isla Sri Lanka, uno de los proveedores de servicios de Internet más grandes de Argentina, una compañía de telecomunicaciones francesa y el cuarto operador de telefonía móvil más grande de Europa.

Quienes están detrás son la banda de operadores REvil. Encriptan archivos de la víctima y solicitan tarifas de extorsión astronómica, con una demanda promedio de $ 260.000 dólares por estafa. En la dark web publican “teasers” de archivos robados, y luego toda la información robada si las víctimas no pagan la tarifa de extorsión deseada, último truco en la gran bolsa de tácticas. Ahora lanzaron una «subasta» que les permite monetizar los archivos robados en lugar de liberarlos de forma gratuita, como lo hicieron hasta ahora. Así fue atacada una firma de abogados de Nueva York, que representa celebridades tales como Madonna, cuyos documentos legales amenazan con entregarlos al mejor postor.

Sodinokibi entra a los dispositivos de la mano de las personas que “caen” mediante el spam vía correo electrónico, el phishing, la publicidad maliciosa durante la navegación en páginas web (por ejemplo, con programas o actualizadores de software falsos) o sacando provecho de vulnerabilidades en la configuración de servicios.

El código malicioso avanza en etapas. Una de ellas es el proceso de cifrado que concluye renombrando todos archivos modificados. Otra es la creación de un archivo de texto en cuyo interior se detallan las instrucciones que deben seguirse para el rescate de los documentos. En forma complementaria, se avisa a la víctima mediante mensajes adicionales por pantalla o modificando el fondo del escritorio.

Pero es mejor prevenir que intentar curar. Se desaconseja pagar a la gente que desarrolló este ransomware. Normalmente, los ciberdelincuentes colaboran solo hasta que han recibido el rescate. Luego casi todos ellos ignoran a sus víctimas y no envían las herramientas o claves necesarias para el descifrado. Con pocas palabras, los usuarios resultan estafados.

Por otra parte, no hay ninguna herramienta que pueda descifrar los archivos encriptados por Sodinokibi de forma gratuita. Los ciberdelincuentes que desarrollaron este ransomware en particular son los únicos que pueden ofrecer esa herramienta de descifrado. La mejor opción en tales casos es restaurar los archivos usando una copia de seguridad (si hubiera una) creada antes de que todos los archivos resulten encriptados por un programa de tipo ransomware.

La prevención radica en la concientización y la gestión de parches y actualizaciones. Se recomienda, entre otras medidas, no abrir adjuntos en correos de remitentes desconocidos o sospechosos, aunque se presenten como oficiales e importantes; usar los sitios web oficiales y de confianza al descargar software y actualizarlo con las funciones o herramientas incorporadas facilitadas solo por desarrolladores oficiales; no usar herramientas que permiten a los usuarios evitar el pago de software dado que son ilegales y suelen ocasionar infecciones informáticas; tener instalado (y activado) un software antivirus o anti espía de reputación; llevar adelante un backup de los datos en un lugar distinto al cual se almacenan los datos de la compañía debido a que Sodinokibi tiene la capacidad de encriptar también los backups locales.

Sodinokibi no discrimina a sus víctimas. Grandes organizaciones de distintos rubros vienen siendo estafadas, con daños enormes en términos monetarios para sus industrias e impactos de distintos tipos a terceros, como sus propios clientes. Por ello, es importantísimo llevar conciencia a los empleados y actualizar de forma constante el software existente en los equipos de toda la compañía.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

WhatsApp chat
A %d blogueros les gusta esto: