Análisis Ransonware REvil/Sodinokivi, asociado a GandCrab
- Publicado: 01/10/2019
- Importancia: Media
- Recursos afectados
REvil es uno de los ransomware más evolucionados en la actualidad, ya que permite a los ciberdelincuentes configurar y ajustar sus capacidades, según investigadores esta amenaza se ha sometido a actualizaciones cada mes desde que se descubrió, exceptuándose el mes de agosto.
Este ransonware cuenta con las siguientes capacidades:
- Elevar privilegios en los sistemas de las victimas que tienen la vulnerabilidad CVE-2018-8453.
- Finalizar procesos asociados en la lista negra (incluida en su código) antes de realizar el cifrado de información, con el fin de eliminar posibles conflictos relacionados con los recursos del sistema o aplicaciones en ejecución.
- Eliminar contenido de las carpetas del equipo víctima incluidos en la lista negra.
- El no cifrado de archivos y carpetas en los diferentes dispositivos de almacenamiento local y recursos compartidos de red los cuales están incluidos en la lista blanca.
- Exfiltrar información básica del equipo víctima.
En la muestra analizada se observó que el flujo de ejecución consta de 9 fases, donde cada una de ellas realiza una tarea específica con la cual garantiza la correcta infección del sistema víctima.
Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].
- Etiquetas