Sodinokibi: prevención, identificación y respuesta

En nuestro anterior blog hablamos del ransomware Sodinokibi y de su funcionamiento. En él veíamos que el modelo de RaaS (Ramsonware as a Service) planteaba un escenario muy favorable para el incremento del número de estas amenazas y su rápida propagación, ya que pone este servicio al alcance de todo aquel que esté dispuesto a pagar él, sin necesidad de conocimientos técnicos.

Si a esto le sumamos la sofisticación, complejidad y posibilidad de establecer persistencia de este ransomware, es necesario dar a conocer algunas líneas de actuación que deben seguirse en el caso de haber sido víctima de este.

Prevención

La mejor protección frente a este tipo de código malicioso es la prevención, ya que solamente siguiendo las recomendaciones y buenas prácticas, conseguiremos evitar vernos afectados o, en el peor de los casos, paliar los efectos adversos y las consecuencias tras un ataque exitoso contra nuestros sistemas. Algunos de los más importantes son:

• Hacer copias de seguridad frecuentemente y mantenerlas en soportes desconectados (backup offline), como pueden ser discos duros extraíbles. De esta forma, la información se puede mantener fuera del alcance de la posible infección. Debemos recordar que una de las primeras misiones del ransomware es dificultar la posible recuperación de datos.
• Mantener actualizados el sistema operativo y las aplicaciones. Aplicar de manera regular los parches y actualizaciones que los fabricantes de sistemas operativos y programas publican periódicamente para corregir las posibles vulnerabilidades que aprovecha el software malicioso para propagarse y ejecutarse sobre equipos desactualizados.
• Mantener el software antivirus siempre en ejecución y actualizado. Los antivirus están diseñados para detener la mayoría de las acciones que los códigos maliciosos puedan intentar. Para que la protección sea efectiva, es necesario mantener las firmas actualizadas.
• Mínimos privilegios. Evitar utilizar los equipos con cuentas con privilegios de administrador. Asignar a las personas usuarias de los mismos cuentas con los permisos mínimos necesarios para operar los programas y llevar a cabo su actividad. De esta forma, si el código malicioso llega a ejecutarse quedarán limitados a los posibles cambios y acciones que intente llevar a cabo sobre el equipo infectado. Como se ha comentado, el éxito de Sodinokibi reside en las posibilidades de escalada de privilegios que pueda obtener en el equipo infectado. Gran parte de las amenazas contra sistemas Windows se pueden prevenir utilizando credenciales no privilegiadas.
• Mínima exposición. Limitar la exposición al exterior de la red interna de la empresa, o de aquella información o servicio que no necesita ser accesible desde el exterior. Conviene desplegar soluciones de firewall (cortafuegos), para delimitar el perímetro interno y externo de la red, y configurarlo correctamente para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
• Instalación de aplicaciones específicas de seguridad. Despliegue de aplicaciones específicas que permitan  reducir el riesgo de infección, como pueden ser filtros antispam, ya que el correo malicioso es el principal vector de propagación de este ransomware. También existen programas de bloqueo de cierto tipo de código, como Javascript, para evitar la ejecución de código no autorizado al visitar páginas web o abrir documentos maliciosos.
• Segregación de redes. Segmentación de los equipos de usuario y servidores en distintas subredes para limitar la propagación de los incidentes. La separación de subredes debe hacerse por medio de cortafuegos (firewall) con reglas de filtrado de tráfico.
• Concienciación: Las personas que utilizan dispositivos, domésticos o corporativos, deben concienciarse del riesgo que supone el acceso a sitios sospechosos o el intercambio de archivos de dudosa procedencia, así como tener pautas claras para identificar mensajes de correo electrónico que alberguen contenido malicioso o referencias a sitios que pudiera contenerlos.

En el entorno corporativo, además, es especialmente recomendable seguir las siguientes pautas de preparación adicionales:

• Mantener actualizadas las políticas y procedimientos. Especialmente aquellos  relativos a copias de seguridad, gestión de incidentes, recogida de evidencias y recuperación de sistemas.
• Crear y preparar un equipo técnico capaz de dar una  eficaz respuesta a incidentes de seguridad de estas características.
• Disponer de información actualizada de contacto, tanto de los miembros  del equipo de respuesta, del personal interno, así como otros técnicos de  asistencia externa, que se pueden ver implicados en la gestión del ciberincidente.
• Realizar simulaciones de incidentes de este tipo a fin de entrenar capacidades y validar los procedimientos técnicos, operativos, de gestión y coordinación del equipo técnico de respuesta a incidentes de seguridad.
• Elaborar un análisis de riesgos que recoja esta amenaza e incluir su gestión en el plan de tratamiento para posibilitar su mitigación.

Identificación

La rápida identificación del ransomware es crucial para dar una respuesta eficaz a la infección. Ya hemos visto las diversas funciones que posee para dificultar su detección por parte de antivirus y otros tipos de software de seguridad, como los sistemas de detección de intrusiones (IDS), por lo que será el propio usuario quien deba identificar cualquier comportamiento sospechoso.

Algunos de los síntomas que podrían revelar la infección de un equipo por Sodinokibi son los siguientes:

• Modificación del fondo de escritorio.
• Mensajes intimidatorios para la persona que opera el equipo o solicitud de pagos para recuperar información.
• Conexiones de red entrantes y salientes por puertos y protocolos comúnmente no utilizados.
• Bajo rendimiento en el funcionamiento del equipo.
• Funcionalidades deshabilitadas del sistema operativo o de programas.
• Lentitud al navegar por Internet o durante la descarga de archivos.
• Alertas de seguridad por parte del sistema operativo o de las soluciones antivirus.

- Nota de rescate traducida al castellano. Fuente: Geek`s advice -

Respuesta

Ante la sospecha de estar infectado por Sodinokibi o por cualquier otro ransomware, es muy importante actuar rápidamente. Si por cualquier circunstancia se produce la infección de uno o varios equipos, los procedimientos de respuesta que se lleven a cabo podrán limitar los efectos del incidente y reanudar la actividad con rapidez.

Una vez detectado el incidente tras verificar que se trata de un ataque por ransomware, el procedimiento de respuesta que se recomienda llevar a cabo es el que recogen las fases de contención, mitigación, recuperación y postincidente. A continuación se detallan cada una de ellas.

Contención

La primera medida está orientada a evitar que el ransomware se propague a otros sistemas, es decir, a reducir el alcance y detener la propagación.

• Aislar el dispositivo infectado. Una vez que se detecta que el ransomware ha infectado un equipo, este puede propagarse a otros, por lo que el tiempo de reacción es crucial. Es esencial desconectar el dispositivo infectado de la red, Internet y resto de dispositivos lo más rápido posible.
• Detener su propagación. El código malicioso se difunde rápidamente, y el equipo en el que se ha localizado el ransomware no es necesariamente el punto de acceso inicial del mismo, por lo tanto el aislamiento inmediato de un equipo infectado no garantiza que no esté presente en otros dispositivos de la red. Para limitar el alcance de su propagación de manera efectiva, se deben desconectar de la red todos aquellos dispositivos sospechosos de ser el punto de entrada del malware, y aquellos en los que se produzca un comportamiento sospechoso o anómalo.
• Evaluar los daños. Para determinar qué dispositivos han sido infectados, se deben verificar los archivos que se han creado o renombrado recientemente, aquellos con nombres de extensión de archivo extraños, nombres de archivos extraños o usuarios que tengan problemas para abrir archivos. En este punto, el objetivo es crear una lista completa de todos los sistemas afectados, incluidos dispositivos de almacenamiento en red.
• Localizar el origen de la infección. Para localizar el origen, es necesario verificar si hay alertas que provengan del antivirus, sistema de detección de intrusiones (IDS) o cualquier plataforma de monitorización activa. Revisar los recursos de archivos compartidos que hayan podido ser cifrados también puede proporcionar información valiosa para tratar de localizar el equipo origen de la infección. Como la mayoría del ransomware se introduce en los sistemas a través del correo electrónico, en mensajes con enlaces y archivos adjuntos, que requieren una acción de la persona que lo recibe, también es posible preguntar a las personas que operan los equipos sobre su actividad reciente al respecto.
• Identificar el ransomware. Es importante identificar la variante de ransomware que ha provocado el ataque para su mitigación y confirmar que se trata de Sodinokibi. La primera comprobación es usar la información incluida en la propia nota de rescate. Si no se identifica la variante, se puede recurrir a un motor convencional de búsqueda en Internet para recabar información sobre datos que aparecen en la nota de rescate, como pueden ser las direcciones de correo electrónico o de la página web de referencia. También se pueden consultar páginas específicas especializadas en la identificación de ransomware como puede ser la iniciativa de Europol No More Ransom, en la que colaboran múltiples fabricantes de antivirus:  https://www.nomoreransom.org/.

  Otra opción es consultar con el fabricante o distribuidor del software antivirus instalado, ya que estas entidades habitualmente ponen a disposición de sus clientes y público en general información e incluso herramientas que permiten la identificación del mismo.
  Además desde INCIBE-CERT se proporciona soporte en la identificación de ransomware en los incidentes gestionados.

Mitigación

Una vez identificada la variante de ransomware como Sodinokibi, el siguiente paso será erradicar la infección. Este ransomware crea varias entradas de registro, guarda ficheros ocultos e incluso es capaz de realizar otro tipo de acciones como deshabilitar ciertos servicios. Dependiendo de la configuración del equipo, en muchas ocasiones lo más rápido y seguro es reinstalar el sistema operativo.

Otra opción es  contactar con el fabricante o distribuidor del software antivirus para que nos indiquen las instrucciones a seguir, o ponerse en contacto con su CERT de referencia para recibir asistencia.

Recuperación

Para restablecer el sistema y recuperar los archivos secuestrados por Sodinokibi, no debería de plantearse como opción el pago del rescate exigido por quien perpetra el secuestro, ya que no hay garantías de recuperar la información tras el pago, y además se fomentan este tipo de delitos.

Antes de proceder a reinstalar el sistema siempre es recomendable realizar una copia completa del disco con la información cifrada para que, en caso de que en un futuro se localice una solución de descifrado gratuita, tener la posibilidad de recuperar los datos a partir de la copia cifrada.

Es el momento de evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación. El método más rápido y fácil de hacerlo, es restituir los equipos e información, una vez erradicado el código malicioso, reinstalando tanto sistemas operativos como otro software y restaurando los datos desde la copia de seguridad no afectada más reciente.

Post-incidente

Una vez que el sistema se ha restituido y se verifica que no hay rastro del ransomware, se debe proceder al análisis de las causas que lo han provocado, identificar las vulnerabilidades que lo han posibilitado y definir un plan de acción que permita reforzar las debilidades del sistema, normalmente incrementando los controles de seguridad técnicos, introduciendo cambios en la topología y arquitectura de red, así como reforzando los planes de formación y concienciación de las personas. Todo ello con la intención de aprender de los errores y de que estos no vuelvan a repetirse.

Conclusiones

La mejor estrategia a la hora de defenderse de los ataques es estar preparados para su llegada. Una buena anticipación ayudará favorablemente a evitar que estos nos afecten de forma efectiva y saber cómo actuar en caso de que, desafortunadamente, no hayan podido evitarse.

Para ello, además de implementar todas las medidas técnicas que se encuentren a nuestro alcance, será necesario que los usuarios conozcan las recomendaciones y buenas prácticas para un uso seguro y responsable de los sistemas, siempre con sentido común.

Es reseñable que los grupos que hacen uso de Sodinokibi están modificando su comportamiento, realizando previamente al cifrado de datos una exfiltración masiva de información de los sistemas comprometidos. Los datos robados son utilizados para extorsionar al afectado a cambio de evitar la divulgación parcial o total de los mismos, ya que con esto se dará a conocer públicamente el incidente de seguridad sufrido. La información robada además de usarse como prueba pública del incidente puede ser usada para su comercialización al incluir datos confidenciales internos y en ocasiones de clientes o proveedores.