{"id":1620,"date":"2019-07-06T14:37:41","date_gmt":"2019-07-06T19:37:41","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=1620"},"modified":"2019-08-03T17:23:13","modified_gmt":"2019-08-03T22:23:13","slug":"nuevo-ransomware-infecta-sin-ejecucion-del-usuario","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/nuevo-ransomware-infecta-sin-ejecucion-del-usuario\/","title":{"rendered":"Nuevo Ransomware infecta sin ejecuci\u00f3n del usuario"},"content":{"rendered":"\n<p>El Sodinokibi Ransomware (tambi\u00e9n conocido como Sodin, REvil) apareci\u00f3 en abril cuando los delincuentes lo usaron para explotar una vulnerabilidad de <strong>Oracle WebLogic Server<\/strong> recientemente parcheada.<\/p>\n\n\n\n<p>Ahora la amenaza est\u00e1 evolucionando, los Sodinokibi. ransomware incluye un c\u00f3digo nuevo para elevar sus privilegios en una m\u00e1quina de destino mediante la explotaci\u00f3n de una vulnerabilidad en el componente Win32k presente en Windows 7, 10 y Server.<\/p>\n\n\n\n<p>En octubre se revel\u00f3 que la vulnerabilidad <strong>CVE-2018-8453<\/strong> ha sido explotada&nbsp;por el grupo APT&nbsp;,&nbsp;conocido&nbsp;como&nbsp;&nbsp;<strong>FruityArmor&nbsp;<\/strong>, un grupo de ciberespionaje que se observ\u00f3 por primera vez en 2016 cuando se dirig\u00eda a activistas, investigadores e individuos relacionados con organizaciones gubernamentales.<\/p>\n\n\n\n<p>El malware explota la vulnerabilidad en el sistema operativo <strong>Windows<\/strong> y el usuario objetivo ni siquiera tiene que estar expuesto a una campa\u00f1a de phishing para que los hackers obtengan acceso al sistema comprometido (el phishing es el principal vector de ataque para infectar un sistema con ransomware). Los atacantes s\u00f3lo deben encontrar un sistema vulnerable y ejecutar un comando que descarga el archivo malicioso llamado \u201cradm.exe\u201d. Este archivo almacena el <strong>ransomware<\/strong> de forma local y despu\u00e9s lo ejecuta. <\/p>\n\n\n\n<p>Se descubri\u00f3 que el <strong>ransomware Sodin<\/strong> se est\u00e1 propagando en todo el mundo y que la mayor\u00eda de las infecciones se observaron en la regi\u00f3n de Asia y el Pac\u00edfico: <strong>Taiw\u00e1n (17.56%), Hong Kong y Corea del Sur (8.78%).<\/strong><\/p>\n\n\n\n<p>Otros pa\u00edses donde se detect\u00f3 Sodinokibi son: J<strong>ap\u00f3n (8,05%), Alemania (8,05%), Italia (5,12%), Espa\u00f1a (4,88%), Vietnam (2,93), los Estados Unidos (2,44%) y Malasia (2,20%).<\/strong><\/p>\n\n\n\n<p>Seg\u00fan los reportes, los hackers exigen a todas las v\u00edctimas del malware un rescate de hasta <strong>2 mil 500 d\u00f3lares en criptomoneda.<\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-opt-id=656013531  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/i2.wp.com\/www.bleepstatic.com\/images\/news\/u\/1100723\/Ransomware\/Sodinokibi-infection-rate.png?zoom=1.1041666269302368&amp;ssl=1\" alt=\"\"\/><\/figure>\n\n\n\n<p>Los investigadores publicaron un an\u00e1lisis t\u00e9cnico del proceso de escalamiento de privilegios que permite que la amenaza gane privilegios del SISTEMA.<\/p>\n\n\n\n<p>Para escalar privilegios, Sodin aprovecha la vulnerabilidad en win32k.sys, luego ejecuta dos opciones de c\u00f3digo de shell contenidas en el cuerpo del troyano en funci\u00f3n de la arquitectura del procesador.<\/p>\n\n\n\n<p>El cuerpo de cada muestra de Sodin incluye un bloque de configuraci\u00f3n cifrado que almacena la configuraci\u00f3n y los datos utilizados por el malware.<\/p>\n\n\n\n<p>La configuraci\u00f3n de Sodin incluye campos para la clave p\u00fablica, n\u00fameros de ID para la campa\u00f1a y el distribuidor, para sobrescribir datos, nombres de directorios y archivos, y&nbsp;lista&nbsp;de extensiones para no estar encriptadas,&nbsp;nombres&nbsp;de los procesos que debe terminar, las direcciones del servidor C2, la plantilla de la nota de rescate y una para usar un exploit para obtener privilegios m\u00e1s altos en la m\u00e1quina.<\/p>\n\n\n\n<p>Una vez cifrados los archivos, Sodinokibi agregar\u00e1 una extensi\u00f3n aleatoria que es diferente para cada computadora que infecta.<\/p>\n\n\n\n<p>El c\u00f3digo malicioso no encripta los archivos con dise\u00f1os de teclado espec\u00edficos de ciertos pa\u00edses, entre ellos: <strong>Rusia, Ucrania, Bielorrusia, Tayikist\u00e1n, Armenia, Azerbaiy\u00e1n, Georgia, Kazajst\u00e1n, Kirguist\u00e1n, Turkmenist\u00e1n, Moldavia, Uzbekist\u00e1n y Siria.<\/strong><\/p>\n\n\n\n<p>El ransomware es una de las\nvariantes de ciberataque m\u00e1s comunes en la actualidad, no obstante, es poco\nusual encontrar un malware de cifrado tan complejo, capaz de explotar la propia\narquitectura del CPU para infectar un dispositivo. Debido al amplio n\u00famero de\nsistemas potencialmente vulnerables, se espera que los reportes de infecci\u00f3n\npor Sodin crezcan de forma exponencial en los pr\u00f3ximos meses. \u201cEs obvio\nque los desarrolladores de este malware invirtieron enormes recursos en su\ncreaci\u00f3n, por lo que tratar\u00e1n de recuperar sus activos a la brevedad\u201d,\nconcluyeron los expertos.&nbsp; <\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Sodinokibi Ransomware (tambi\u00e9n conocido como Sodin, REvil) apareci\u00f3 en abril cuando los delincuentes lo usaron para explotar una vulnerabilidad de Oracle WebLogic Server recientemente parcheada. Ahora la amenaza est\u00e1 evolucionando, los Sodinokibi. ransomware incluye un c\u00f3digo nuevo para elevar sus privilegios en una m\u00e1quina de destino mediante la explotaci\u00f3n de una vulnerabilidad en el&hellip;<\/p>\n","protected":false},"author":1,"featured_media":1621,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[92,42,19,18,91,93],"class_list":["post-1620","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware","tag-cve-2018-8453","tag-exploits","tag-malware","tag-ransomware","tag-vulnerabilidad","tag-windows"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=1620"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1620\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/1621"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=1620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=1620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=1620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}