Sodinokibi: un nuevo ransomware que ataca a servidores Oracle Weblogic

Se ha descubierto una nueva familia de ransomware que explota la vulnerabilidad ‘0-day’ en el popular servidor de aplicaciones Oracle Weblogic.

El pasado 28 de abril escribíamos sobre una vulnerabilidad de tipo ‘0-day’ descubierta en el servidor de aplicaciones Oracle WebLogic. Esta vulnerabilidad, etiquetada con CVE-2019-2725 permite la ejecución remota de código sin autenticación.

Investigadores de Cisco Talos han descubierto que esta vulnerabilidad está siendo utilizada activamente para la creación de botnets, instalar software de minado de criptomonedas e incluso en una nueva familia de ransomware, bautizada como Sodinokibi.

Sodinokibi encripta los archivos del usuario infectado utilizando una extensión aleatoria, única para cada máquina. Y además, elimina los backups existentes en la máquina, lo que dificulta el proceso de recuperación.

El proceso de infección ocurre sin ninguna interacción del usuario. Los atacantes, una vez encuentran un servidor vulnerable, envían una petición HTTP POST con el comando PowerShell que explota la vulnerabilidad. Esto descargará y ejecutará el binario en la máquina, que quedará infectada si la versión de Oracle Weblogic no estaba parcheada.

Como suele ser habitual, este ransomware muestra la nota con las instrucciones para desencriptar los archivos, que pasan por ingresar una cantidad de dinero en criptomonedas en la dirección indicada por el atacante. Para terminar de «convencer» a la víctima, la nota muestra una fecha límite para recuperar los archivos.

Nota del ransomware. Fuente: talosintelligence.com

Debido a la facilidad de explotación de esta vulnerabilidad, se prevé un aumento de los ataques a sistemas con Oracle Weblogic instalado. Recomendamos actualizar cuanto antes a una versión no vulnerable.

Indicadores de compromiso (IoC)

Muestras:
0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451

Droppers:
hxxp://188.166.74[.]218/office.exe
hxxp://188.166.74[.]218/radm.exe
hxxp://188.166.74[.]218/untitled.exe
hxxp://45.55.211[.]79/.cache/untitled.exe

IP atacante:
130.61.54[.]136

Dominio atacante:
decryptor[.]top

Más información

Sodinokibi ransomware exploits WebLogic Server vulnerability
https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.