REvil, también conocido como Sodinokibi, es uno de los operadores de ransomware como servicio (RaaS) más prolíficos, apareciendo por primera vez en el año 2019, y acaparando numerosos titulares en los últimos meses debido a los objetivos que alcanzó y a sus históricas ganancias mediante el ransomware. En el último ataque, REVil ha infectado a una empresa proveedora de software de gestión de TI para MSP, afectando así a numerosas compañías de todo el mundo. Los atacantes desplegaron una carga maliciosa a través de un script de PowerShell, que, a su vez, fue presumiblemente ejecutado a través del software del proveedor de MSP. Este script deshabilitó las funciones de protección de Microsoft Defender for Endpoint para, posteriormente, descifrar un ejecutable malicioso, que incluía un código binario legítimo de Microsoft, una versión antigua de la solución Microsoft Defender y una biblioteca maliciosa que contenía el ransomware REvil. Utilizando esta combinación de componentes en el cargador, los atacantes pudieron explotar la técnica de carga lateral de DLL y atacar a numerosas empresas.
A través de su Servicio de Inteligencia de Amenazas, Kaspersky ha detectado más de 5.000 intentos de ataque en 22 países diferentes, situándose como los más afectados Italia, con el 45,2% de los intentos de ataque registrados; Estados Unidos, con el 25,91%; Colombia, con el 14,83%; Alemania, con el 3,21%; y México, con el 2,21%.
Mapa de los intentos de ataque
a partir de la telemetría de Kaspersky
"Los grupos de ciberdelincuentes dedicados al ransomware y sus socios continúan aumentando su nivel tras los conocidos ataques a Colonial Pipeline y JBS, además de a muchas otras empresas de todo el mundo. En esta ocasión, los operadores de REvil han llevado a cabo un ataque masivo a los MSPs con miles de negocios gestionados en todo el mundo, logrando infectarlos también. Este caso vuelve a poner de manifiesto lo importante que es implementar medidas y soluciones adecuadas de ciberseguridad en todas y cada una de las etapas, lo que incluye a proveedores y socios", señala Vladimir Kuskov, jefe de Exploración de Amenazas de Kaspersky.
Kaspersky ofrece protección contra esta amenaza detectándola con los siguientes nombres:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.Gen.gen
- Trojan-Ransom.Win32.Sodin.gen
- Trojan-Ransom.Win32.Convagent.gen
- PDM: Trojan.Win32.Generic (with Behavior Detection)
Puedes obtener más Información sobre el último ataque de REvil en Securelist.
Con el objetivo de que las empresas se mantengan protegidas de los ataques de ransomware, los expertos de Kaspersky recomiendan lo siguiente:
- Utilizar una solución de seguridad de confianza para los endpoints, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de remediación capaz de revertir las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden evitar su
- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilizar siempre contraseñas seguras para ellos.
- Instalar rápidamente los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en su red;
- Mantener siempre actualizado el software en todos los dispositivos que utilice para evitar que el ransomware aproveche las vulnerabilidades;
- Centrar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Hacer copias de seguridad de los datos regularmente. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cuando sea necesario. Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las tácticas, técnicas y procedimientos utilizadas por los actores de las amenazas actualmente.
- Utilizar soluciones como Kaspersky Endpoint Detection and Response y el servicio Kaspersky Managed Detection and Response que ayudan a identificar y detener un ataque en las primeras etapas, antes de que los atacantes logren sus objetivos finales.
- Proteger el entorno corporativo y formar a los empleados. Los cursos de formación dedicados pueden ayudar, como los proporcionados en Kaspersky Automated Security Awareness Platform.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
