{"id":18805,"date":"2019-07-05T14:32:26","date_gmt":"2019-07-05T12:32:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18805"},"modified":"2019-11-22T10:50:11","modified_gmt":"2019-11-22T08:50:11","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/","title":{"rendered":"Sodin: el ransomware que se introduce mediante los MSP"},"content":{"rendered":"<p>A finales de marzo, cuando <a href=\"https:\/\/www.kaspersky.es\/blog\/msp-as-a-threat-vector\/18139\/\" target=\"_blank\" rel=\"noopener\">escribimos<\/a> sobre el ataque del <em>ransomware<\/em> GandCrab a los clientes de proveedores de servicios gestionados (MSP por sus siglas en ingl\u00e9s), ya imaginamos que no se tratar\u00eda de un hecho aislado. Los proveedores de servicios gestionados son un objetivo tan tentador que los ciberdelincuentes no podr\u00edan ignorarlo.<\/p>\n<p>Y, al parecer, est\u00e1bamos en lo cierto. En abril, el <em>ransomware<\/em> llamado Sodin llam\u00f3 la atenci\u00f3n de nuestros expertos. A diferencia de los dem\u00e1s, utiliz\u00f3 las brechas en los sistemas de seguridad de los MSP y aprovech\u00f3 una vulnerabilidad en la plataforma Oracle WebLogic. Adem\u00e1s, normalmente el <em>ransomware<\/em> requiere la intervenci\u00f3n del usuario en alg\u00fan momento (por ejemplo, a veces la v\u00edctima debe lanzar un archivo ubicado en un correo electr\u00f3nico de <em>phishing<\/em>), pero en este caso no es necesaria su participaci\u00f3n.<\/p>\n<p>En este <a href=\"https:\/\/securelist.com\/sodin-ransomware\/91473\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo de Securelist<\/a> encontrar\u00e1s m\u00e1s informaci\u00f3n t\u00e9cnica sobre el <em>ransomware<\/em>. Desde nuestro punto de vista, lo m\u00e1s interesante sobre este <em>malware<\/em> son sus medios de distribuci\u00f3n.<\/p>\n<h3>Los m\u00e9todos de distribuci\u00f3n de Sodin<\/h3>\n<p>Para difundir el <em>malware<\/em> a trav\u00e9s de <a href=\"https:\/\/threatpost.com\/new-sodinokibi-ransomware-exploits-critical-oracle-weblogic-flaw\/144233\/\" target=\"_blank\" rel=\"noopener nofollow\">WebLogic<\/a>, los atacantes utilizaron la vulnerabilidad CVE-2019-2725 para ejecutar un comando de PowerShell en un servidor vulnerable de Oracle WebLogic. Esto les permiti\u00f3 cargar un <em>dropper<\/em> en el servidor, que posteriormente instal\u00f3 la carga: el <em>ransomware<\/em> Sodin. Los parches que solucionaban este error se lanzaron en abril, pero a finales de junio se descubri\u00f3 una vulnerabilidad similar: CVE-2019-2729.<\/p>\n<p>En los ataques que utilizan a los MSP, Sodin se introduce en los dispositivos de los usuarios de diversas formas. Los usuarios de al menos 3 proveedores ya han sufrido las consecuencias de este troyano. Seg\u00fan este <a href=\"https:\/\/www.darkreading.com\/attacks-breaches\/attackers-exploit-msps-tools-to-distribute-ransomware\/d\/d-id\/1335025\" target=\"_blank\" rel=\"noopener nofollow\">art\u00edculo de DarkReading<\/a>, en algunos casos los atacantes utilizaron las consolas de acceso en remoto Webroot y Kaseya para enviar el troyano. En otros casos, <a href=\"https:\/\/www.reddit.com\/r\/msp\/comments\/c2wls0\/kaseya_weaponized_to_deliver_sodinokibi_ransomware\/\" target=\"_blank\" rel=\"noopener nofollow\">seg\u00fan se afirma en Reddit<\/a>, los atacantes penetraron en la infraestructura de los MSP mediante una conexi\u00f3n RDP, elevaron sus privilegios, desactivaron las soluciones de seguridad y las copias de seguridad y descargaron el <em>ransomware<\/em> en los ordenadores del cliente.<\/p>\n<h3>Qu\u00e9 deber\u00edan hacer los proveedores de servicios<\/h3>\n<p>En primer lugar, deber\u00edan tomarse muy en serio el almacenamiento de las contrase\u00f1as utilizadas para el acceso en remoto y utilizar la autentificaci\u00f3n de doble factor siempre que sea posible. Las consolas de acceso en remoto, Kaseya y Webroot, admiten este tipo de autentificaci\u00f3n. Adem\u00e1s, despu\u00e9s del incidente, los desarrolladores han comenzado a exigir su uso. Como podemos comprobar, los atacantes que distribuyen Sodin no esperan a la oportunidad perfecta, sino que buscan deliberadamente varios m\u00e9todos para distribuir el <em>malware<\/em> mediante los proveedores de servicios gestionados. Por ello, es necesario vigilar todas las herramientas que se utilizan en este \u00e1mbito. Como comentamos siempre, el acceso RDP deber\u00eda utilizarse como \u00faltimo recurso.<\/p>\n<p>Los MSP y, sobre todo, aquellos que ofrecen servicios de ciberseguridad, deber\u00edan tomarse a\u00fan m\u00e1s en serio a\u00fan la protecci\u00f3n de su infraestructura que la de su cliente. Y esto es lo que ofrece <a href=\"https:\/\/www.kaspersky.es\/partners\/managed-service-provider\" target=\"_blank\" rel=\"noopener\">Kaspersky a los MSP para su protecci\u00f3n<\/a> y la de sus clientes.<\/p>\n<h3>Qu\u00e9 deber\u00edan hacer el resto de las compa\u00f1\u00edas<\/h3>\n<p>Evidentemente, actualizar el <em>software<\/em> es de vital importancia. Que el <em>malware<\/em> se introduzca en tu infraestructura mediante vulnerabilidades descubiertas y cerradas hace meses puede ser un ejemplo muy vergonzoso de un error que podr\u00eda haberse evitado.<\/p>\n<p>Las empresas que utilizan Oracle WebLogic deber\u00edan consultar en primer lugar las recomendaciones de seguridad de Oracle para las vulnerabilidades <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2725-5466295.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2725<\/a> y <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2729-5570780.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2729<\/a>.<\/p>\n<p>Adem\u00e1s, tambi\u00e9n es aconsejable utilizar <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad de confianza<\/a> con subsistemas que puedan detectar <em>ransomware<\/em> y proteger las estaciones de trabajo.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Este ransomware utiliza la infraestructura de los proveedores de servicios gestionados o la vulnerabilidad de Oracle Weblogic para infectar y cifrar los sistemas de las v\u00edctimas. <\/p>\n","protected":false},"author":2506,"featured_media":18806,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2268,401],"class_list":{"0":"post-18805","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-msp","11":"tag-ransomware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18805","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18805"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18805\/revisions"}],"predecessor-version":[{"id":19772,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18805\/revisions\/19772"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18806"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}