NUEVO RANSOMWARE SODINOKIBI
Se ha descubierto una nueva familia de ransomware que explota la vulnerabilidad ‘0-day’ en el popular servidor de aplicaciones Oracle Weblogic.
Investigadores de Cisco Talos han descubierto que esta vulnerabilidad está siendo utilizada activamente para la creación de botnets, instalar software de minado de criptomonedas e incluso en una nueva familia de ransomware, bautizada como Sodinokibi.
Sodinokibi encripta los archivos del usuario infectado utilizando una extensión aleatoria, única para cada máquina. Y además, elimina los backups existentes en la máquina, lo que dificulta el proceso de recuperación.
El proceso de infección ocurre sin ninguna interacción del usuario. Los atacantes, una vez encuentran un servidor vulnerable, envían una petición HTTP POST con el comando PowerShell que explota la vulnerabilidad. Esto descargará y ejecutará el binario en la máquina, que quedará infectada si la versión de Oracle Weblogic no estaba parcheada.
Como suele ser habitual, este ransomware muestra la nota con las instrucciones para desencriptar los archivos, que pasan por ingresar una cantidad de dinero en criptomonedas en la dirección indicada por el atacante. Para terminar de «convencer» a la víctima, la nota muestra una fecha límite para recuperar los archivos.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.