Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Sunburst

¿Qué es?

Sunburst, también conocido como Solorigate, es un malware de tipo troyano backdoor que se enfoca espiar y extraer información, sobre todo, de agencias gubernamentales, empresas tecnológicas y otras organizaciones de alto perfil a través de un ataque a la cadena de suministro del software de monitorización de redes Orion de SolarWinds sobre dispositivos Windows. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Se hace pasar por tráfico legítimo del software SolarWinds Orion para evitar su detección.
  • Establece comunicaciones con servidores de mando y control (C2) para recibir instrucciones.
  • Recoge información de los sistemas y la exfiltra de forma cifrada.
  • Permite la descarga y ejecución de otros programas maliciosos, según las órdenes de los atacantes.
  • Modifica o crea tareas programadas para mantener su persistencia.
  • Permite desactivar o evitar mecanismos de detección y respuesta automática.
  • Permite el movimiento lateral dentro de redes corporativas para comprometer otros sistemas.
  • Introduce largos retardos en su ejecución (hasta 2 semanas) para evitar levantar sospechas inmediatas.
  • Usa nombres de dominio aparentemente legítimos y técnicas de generación de dominios aleatorios (DGA) para comunicarse con sus servidores de mando y control (C2).
  • Incluye lógica para evitar comprometer ciertos objetivos no deseados.
  • Instala otras puertas traseras persistentes más pequeñas para mantener el acceso y la persistencia incluso si fuese detectado y eliminado.
  • Cambia nombres de archivos y utiliza certificados digitales legítimos robados para disfrazarse.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Microsoft Windows con versiones comprometidas del software SolarWinds Orion Platform (versiones de 2019.4 a 2020.2.1 HF1).

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la cadena de suministro comprometida durante la fabricación. Los atacantes comprometieron la infraestructura de compilación de SolarWinds e insertaron el código malicioso directamente en sus actualizaciones legítimas, por lo que los clientes que instalaron estas actualizaciones comprometidas se infectaron automáticamente.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales