Google

Sodinokibi Ransomware

Written on:May 2, 2019
Comments
Add One

Hace unos días hablamos acerca de la vulnerabilidad CVE-2019-2725 detectada en servicios Oracle WebLogic, la cual tiene severidad Crítica y a su vez, es de fácil explotación, solo se necesita que el atacante tenga acceso por HTTP al servidor WebLogic.

Sodinokibi, trata de cifrar los directorios de los usuarios y borrar cualquier respaldo que encuentre.

Relativo a esto, se está detectando el uso de esta vulnerabilidad para propagar un tipo de ransomware denominado: Sodinokibi. El equipo de Respuestas a Incidentes de CiberSeguridad de Cisco, se está encargando de hacer la investigación necesaria sobre este nuevo ransowmare y/o su método de propagación.

La primera aparición de este ransomware fue el 25 de abril , un día después de que se publicara la vulnerabilidad, presumiblemente como método de identificación de servidores vulnerables.

Después, el 26 de abril, se detecta que el atacante realiza una conexión HTTP a un servidor vulnerable pidiendo el servicio AsynResponder de Oracle Server.

https://2.bp.blogspot.com/-LBiprLucWao/XMhzXoXTbeI/AAAAAAAAArc/A19jWXIN8MoqmAHkg7ZxuNIhJTXJkIRRQCLcBGAs/s1600/image3.jpg

El Departamento de Respuesta a Incidentes de Ciberseguridad y el equipo de Inteligencia Talos Cisco,  observó una petición realizada desde la dirección 130.61.54[.]136, se trataba de una solicitud tipo HTTP POST que contenía un comando de powershell para descargar, guardar y ejecutar un programa llamado radm.exe.

Adicional a lo anterior , también se detectó que este ataque, no es afectado por la utiliría “certutil.exe”, realizando la descarga correspondiente.

Además del archivo “radm.exe”, se llegaron a encontrar los siguientes diferentes archivos relacionados:

hxxp[:]//188.166.74[.]218/office.exe
hxxp[:]//188.166.74[.]218/radm.exe
hxxp[:]//188.166.74[.]218/untitled.exe
hxxp[:]//45.55.211[.]79/.cache/untitled.exe

Recomendaciones:

  • Actualizar de manera inmediata servidores WebLogic.
  • Restringir acceso a las cuentas utilizadas para servicios WebLogic.
  • Control de acceso: (“/_async/*” and “/wls-wsat/*”).
  • Configuración de Powershell, para limitar la ejecución de scripts.

Fuentes:

https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html

Hasta el momento se tienen los siguientes IoC:

Ransomware samples:
0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451

Distribution URLs:
hxxp://188.166.74[.]218/office.exe
hxxp://188.166.74[.]218/radm.exe
hxxp://188.166.74[.]218/untitled.exe
hxxp://45.55.211[.]79/.cache/untitled.exe

Attacker IP:
130.61.54[.]136

Attacker Domain:
decryptor[.]top

Leave a Comment

Your email address will not be published. Required fields are marked *

%d bloggers like this: