{"id":14883,"date":"2019-07-05T08:59:22","date_gmt":"2019-07-05T14:59:22","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14883"},"modified":"2019-11-22T02:47:33","modified_gmt":"2019-11-22T08:47:33","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/","title":{"rendered":"Sodin: el ransomware<\/em> que se introduce mediante los MSP\u00a0"},"content":{"rendered":"

A finales de marzo, cuando <\/span>escribimos<\/span><\/a> sobre el ataque del <\/span>ransomware<\/span><\/i> GandCrab<\/span> a los clientes de proveedores de servicios gestionados (MSP<\/span>,<\/span> por sus siglas en ingl\u00e9s), <\/span>supusimos <\/span>que no se tratar\u00eda de un hecho aislado. Los proveedores de servicios gestionados son un objetivo tan tentador que los cibercriminales no podr\u00edan ignorarlo.<\/span>\u00a0<\/span><\/p>\n

Est\u00e1bamos en lo cierto, <\/span>al parecer<\/span>. En abril, el <\/span>ransomware<\/span><\/i> llamado <\/span>Sodin<\/span> llam\u00f3 la atenci\u00f3n de nuestros expertos. A diferencia de los dem\u00e1s, utiliz\u00f3 las brechas en los sistemas de seguridad de los MSP y aprovech\u00f3 una vulnerabilidad en la plataforma Oracle WebLogic. Adem\u00e1s, normalmente el <\/span>ransomware<\/span><\/i> requiere la intervenci\u00f3n del usuario en alg\u00fan momento (por ejemplo, a veces la v\u00edctima debe lanzar un archivo ubicado en un correo electr\u00f3nico de <\/span>phishing<\/span><\/i>), pero en este caso no es necesaria su participaci\u00f3n.\u00a0<\/span>\u00a0<\/span><\/p>\n

<\/span><\/p>\n

En este <\/span>art\u00edculo de <\/span>Securelist<\/span><\/a> encontrar\u00e1s m\u00e1s informaci\u00f3n t\u00e9cnica sobre el <\/span>ransomware<\/span><\/i>. Desde nuestro punto de vista, lo m\u00e1s interesante sobre este <\/span>malware<\/span><\/i> son sus medios de distribuci\u00f3n.\u00a0<\/span>\u00a0<\/span><\/p>\n

Los m\u00e9todos de distribuci\u00f3n de <\/span><\/b>Sodin<\/span><\/b>\u00a0<\/span><\/h2>\n

Para expandir el <\/span>malware<\/span><\/i> a trav\u00e9s de <\/span>WebLogic<\/span><\/a>, los atacantes utilizaron la vulnerabilidad CVE<\/span>-2019-2725 para ejecutar un comando de PowerShell en un servidor vulnerable de Oracle WebLogic. Esto les permiti\u00f3 cargar <\/span>un <\/span>dropper<\/span><\/i> en el <\/span>servidor, que posteriormente instal\u00f3 la carga<\/span> da\u00f1ina<\/span>: el <\/span>ransomware<\/span><\/i> Sodin<\/span>. Los parches que solucionaban este error se lanzaron en abril, pero a finales de junio se descubri\u00f3 una vulnerabilidad similar: CVE-2019-2729.<\/span>\u00a0<\/span><\/p>\n

En los ataques que utilizan a los MSP, <\/span>Sodin<\/span> se introduce en los dispositivos de los usuarios de diversas formas. Los usuarios de al menos 3 proveedores ya han sufrido las consecuencias de este troyano. Seg\u00fan este <\/span>art\u00edculo de DarkReading<\/span><\/a>, en algunos casos los atacantes utilizaron las consolas de acceso remoto <\/span>Webroot<\/span> y <\/span>Kaseya<\/span> para enviar el troyano. En otros casos, <\/span>tal cual se afirma en Reddit<\/span><\/a>, los atacantes penetraron en la infraestructura de los MSP mediante una conexi\u00f3n RDP, elevaron sus privilegios, desactivaron las soluciones de seguridad y las copias de seguridad y descargaron el <\/span>ransomware<\/span><\/i> en las computadoras del cliente.\u00a0<\/span>\u00a0<\/span><\/p>\n

Qu\u00e9 deber\u00edan hacer los proveedores de servicios<\/span><\/b>\u00a0<\/span><\/h2>\n

En primer lugar, deber\u00edan tomarse muy en serio el almacenamiento de las contrase\u00f1as utilizadas para el acceso remoto y utilizar la autentificaci\u00f3n de doble factor siempre que sea posible. Las consolas de acceso remoto, <\/span>Kaseya<\/span> y <\/span>Webroot<\/span>, admiten este tipo de autentificaci\u00f3n. Adem\u00e1s, despu\u00e9s del incidente, los desarrolladores han comenzado a exigir su uso. Como podemos comprobar, los atacantes que distribuyen <\/span>Sodin<\/span> no esperan a la oportunidad perfecta, sino que buscan deliberadamente varios m\u00e9todos para distribuir el <\/span>malware<\/span><\/i> mediante los proveedores de servicios gestionados. Por ello, es necesario vigilar todas las herramientas que se utilizan en este \u00e1mbito. Como ya hemos se\u00f1alado, el acceso RDP deber\u00eda utilizarse como \u00faltimo recurso.\u00a0<\/span>\u00a0<\/span><\/p>\n

Los MSP y, sobre todo, aquellos que ofrecen servicios de ciberseguridad deber\u00edan <\/span>tomarse a\u00fan m\u00e1s en serio la protecci\u00f3n de su infraestructura que la de su cliente. Y esto es lo que <\/span>ofrece <\/span>Kaspers<\/span>k<\/span>y a los MSP para su protecci\u00f3n<\/span><\/a> y <\/span>l<\/span>a <\/span>de <\/span>sus clientes.<\/span>\u00a0<\/span><\/p>\n

Qu\u00e9 deber\u00eda hacer el resto de las compa\u00f1\u00edas<\/span><\/b>\u00a0<\/span><\/h2>\n

Evidentemente, actualizar el <\/span>software<\/span><\/i> es de vital importancia. <\/span>Que <\/span>el<\/span> malware<\/span><\/i> se introduzca <\/span>en tu infraestructura mediante vulnerabilidades descubiertas y cerradas hace meses puede ser un ejemplo muy vergonzoso de un error que podr\u00eda haberse evitado.\u00a0<\/span>\u00a0<\/span><\/p>\n

Las empresas que utilizan Oracle WebLogic deber\u00edan consultar en primer lugar las recomendaciones de seguridad de Oracle para las vulnerabilidades <\/span>CVE-2019-2725<\/span><\/a> y <\/span>CVE-2019-2729<\/span><\/a>.<\/span>\u00a0<\/span><\/p>\n

Adem\u00e1s, tambi\u00e9n es aconsejable utilizar soluciones de seguridad de confianza<\/a><\/span> con subsistemas que pued<\/span>a<\/span>n detect<\/span>ar <\/span>ransomware<\/span><\/i> y proteger las estaciones de trabajo.\u00a0<\/span>\u00a0<\/span><\/p>\n

[kasbanner cat_id=\u201dkesb-trial\u201d <\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Este ransomware<\/em> utilizan la infraestructura de los proveedores de servicios gestionados o la vulnerabilidad de Oracle Weblogic para infectar y cifrar los sistemas de las v\u00edctimas.\u00a0\u00a0<\/p>\n","protected":false},"author":2506,"featured_media":14884,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2991,472],"class_list":{"0":"post-14883","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-msp","11":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14883"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14883\/revisions"}],"predecessor-version":[{"id":15811,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14883\/revisions\/15811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14884"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}