Explicación del ransomware Sodinokibi/REvil
Las redes de ciberdelincuentes, a menudo conocidas como "familias de ransomware", se han vuelto cada vez más sofisticadas en los últimos años. Una familia de ransomware, conocida como "Sodinokibi" o "REvil", se ha hecho un nombre utilizando su modelo "Ransomware-as-a-Service" (RaaS) para atacar tanto a grandes empresas como a particulares.
Cuanto más se complican estas operaciones de ransomware, más difícil resulta localizar a los principales responsables. Por eso son tan importantes los servicios de ciberseguridad como Mimecast. Ofrecen las herramientas y asociaciones necesarias para protegerse contra las redes avanzadas de ciberdelincuentes y su creciente lista de técnicas y exploits.
¿Qué es el ransomware como servicio?
El modelo RaaS funciona a través de una red preexistente de actores cibercriminales. Los distribuidores desarrollarán el malware para que funcione de la forma más destructiva posible y luego pasarán este software a los "afiliados". Estos afiliados realizarán entonces el ataque real del ransomware.
Normalmente, los afiliados obtienen acceso al malware a través de servicios basados en suscripciones que implican un recorte mensual para distribuidores y afiliados, o compran una licencia única a los desarrolladores, de forma similar a como funcionan muchas plataformas de software comercial.
La ventaja de este modelo es que rastrear el origen del malware y seguir la pista de los ciberdelincuentes atacantes se convierte en una tarea doble. Incluso si encuentra a los afiliados, su rastro no conduce necesariamente a los desarrolladores del software, y viceversa.
¿Cómo funciona el ransomware Sodinokibi?
La familia de ransomware Sodinokibi/REvil utiliza diversos vectores de ataque, aprovechando los ataques RDP, las vulnerabilidades del software y la susceptibilidad humana a los ataques de phishing y las estafas por correo electrónico.
Una vez que los afiliados de Sodinokibi/REvil hayan encontrado la forma de instalar sus archivos en su sistema, encriptarán sus archivos y todas las copias de seguridad existentes que puedan encontrar en su red. A continuación, recibirá un mensaje solicitando un pago en Bitcoin a cambio de sus archivos perdidos.
Si es víctima de un ataque, se recomienda que no negocie con sus atacantes. No hay ninguna garantía de que reciba su información, e incluso si la recibe, nada impide que estos ciberdelincuentes vendan copias de su información privada a otros delincuentes.
¿Qué es el ransomware Sodinokibi/REvil?
El ransomware Sodinokibi es una operación particular de ransomware como servicio que parece haberse originado en Rusia o Europa del Este alrededor de 2019. El objetivo de esta familia de ransomware parece ser explícitamente monetario, ya que su modo de funcionamiento general consiste en recopilar información privada o datos corporativos y amenazar con publicar esta información a menos que se pague el rescate.
Desde su creación, han atacado a grandes corporaciones como Apple, y también han puesto en su punto de mira a famosos y políticos, como Madonna y antiguos presidentes de EEUU.
Sin embargo, existen dudas sobre si el grupo sigue activo. Desde julio de 2021, todos los sitios web conocidos afiliados al ransomware Sodinokibi/REvil están inactivos. Aunque esta inactividad es prometedora, este silencio radiofónico no garantiza en absoluto que el grupo haya cesado por completo sus operaciones. Podría significar que se han vuelto más difíciles de encontrar.
¿Cómo puedo protegerme contra el REvil/Sodinokibi?
La mejor forma de protegerse contra el ransomware REvil/Sodinokibi es adoptar un enfoque múltiple que incluya la concienciación sobre la seguridad, el escaneado del correo electrónico y auditorías de sus medidas de ciberseguridad actuales.
La concienciación sobre la seguridad implica formar a su personal para que reconozca las posibles estafas de phishing y los archivos adjuntos defectuosos de los correos electrónicos. Ésta debería ser siempre la primera línea de defensa para las empresas, ya que el phishing y las estafas por correo electrónico son los vectores de ataque más comunes para los delincuentes de ransomware, incluidas familias como Sodinokibi.
Los expertos en ciberseguridad como Mimecast ofrecen formación sobre concienciación de seguridad, escaneado de correo electrónico y archivos de recuperación en la nube para que, incluso si sufre un ataque de ransomware, no tenga que sentirse en deuda con los ciberdelincuentes para obtener acceso a información privada.
Manténgase al día con Sodinokibi y otras familias de ransomware
Ya se trate del ransomware Sodinokibi o de cualquier otro número de redes de ransomware, usted y su organización necesitan estar equipados para hacer frente a los ataques de ciberseguridad. De lo contrario, el riesgo de estos ataques es lo suficientemente grande como para que pueda llegar a perder toda su infraestructura informática, así como cualquier información privada que pueda tener almacenada en su red informática.
Mimecast le proporciona todas las herramientas necesarias para prevenir estos incidentes. También le dotan a usted y a su equipo de los conocimientos y la influencia necesarios para hacer frente a cualquier ataque en caso de que se produzca.
Obtenga más información sobre cómo Mimecast puede ayudar a su organización y asóciese con Mimecast hoy mismo para protegerse contra el ransomware.
