UA-53940618-1 Sodin: el ransomware que se introduce a travez los proveedores
  • atapia73

Sodin: el ransomware que se introduce a travez los proveedores

Actualizado: 2 de ago de 2019



En abril, el ransomware llamado Sodin llamó la atención. A diferencia de los demás, Sodin utiliza las brechas en los sistemas de seguridad de los MSP (proveedores de Servicios administrados) y aprovechó una vulnerabilidad en la plataforma Oracle WebLogic. Los ransomware previos a Sodin, requieren de la intervención del usuario en algún momento (por ejemplo, a veces la víctima debe lanzar un archivo ubicado en un correo electrónico de phishing), sin embargo ahora no es necesaria su participación.


¿Cómo se distribuye Sodin?


Para expandir el malware a través de WebLogic, los atacantes utilizaron la vulnerabilidad CVE-2019-2725 para ejecutar un comando de PowerShell en un servidor vulnerable de Oracle WebLogic. Esto les permitió cargar un dropper en el servidor, que posteriormente instaló la carga dañina: el ransomware Sodin. Los parches que solucionaban este error se lanzaron en abril, pero a finales de junio se descubrió una vulnerabilidad similar: CVE-2019-2729.


Una vez realizado lo anterior Sodin se introduce en los dispositivos de los usuarios de diversas formas, en algunos casos los atacantes utilizaron las consolas de acceso remoto Webroot y Kaseya para enviar el troyano. En otros casos, los atacantes penetraron en la infraestructura de los MSP mediante una conexión RDP, elevaron sus privilegios, desactivaron las soluciones de seguridad y las copias de seguridad y descargaron el ransomware en las computadoras del cliente. 


¿Qué deberían hacer los proveedores de servicios?


En primer lugar, deberían tomarse muy en serio el almacenamiento de las contraseñas utilizadas para el acceso remoto y utilizar la autentificación de doble factor siempre que sea posible. Las consolas de acceso remoto, Kaseya y Webroot, admiten este tipo de autentificación. Además, después del incidente, los desarrolladores han comenzado a exigir su uso. Como podemos comprobar, los atacantes que distribuyen Sodin no esperan a la oportunidad perfecta, sino que buscan deliberadamente varios métodos para distribuir el malware mediante los proveedores de servicios gestionados. Por ello, es necesario vigilar todas las herramientas que se utilizan en este ámbito. Como ya hemos señalado, el acceso RDP debería utilizarse como último recurso. 

Los MSP y, sobre todo, aquellos que ofrecen servicios de ciberseguridad deberían tomarse aún más en serio la protección de su infraestructura que la de su cliente.


¿Qué debería hacer las compañías? 


Sugerimos tres acciones concretas:

     1. Dado que este tipo malware se introduce en tu infraestructura mediante vulnerabilidades descubiertas y cerradas, es necesario contar con una estrategia de Vulnerability Management (descubrimiento, gestión y parchado)

     2.  Utilizar soluciones de seguridad que puedan detectar ransomware y proteger las estaciones de trabajo y servidores, mediante estrategias de detección anticipada y de comportamiento basada en Inteligencia Artificial.

3. Finalmente contar con estrategias de respaldo y recuperación que permitan identificara ataques de ransomware y de respaldo confiable, que nos permitan recuperarnos en su caso.


Las amenazas modernas han cambiado , por ende las estrategias de protección también, transformándolas de protección instantánea  a estrategias de análisis de comportamiento y de correlación de eventos. Descubre como funciona los indicadores de compromiso, Hash, y recomendaciones para evitarlo ve a la pagina y descarga el documento

90 vistas1 comentario
  • w-facebook
  • Twitter Clean
  • White Google+ Icon

© 2023 CONSULTORA DE NEGOCIOS. Hecho con  Wix.com

  • Facebook
  • Twitter
  • Icono social LinkedIn
  • YouTube