Con gran certeza este incidente está tocando las puertas de muchos usuarios. A través de Lumu hemos identificado varios clientes en contacto con estos IOCs y como seguramente lo saben existen varias empresas afectadas en la región incluyendo el caso de Telecom argentina en donde 18000 computadores fueron encriptados.

Lumu ha identificado un aumento en los contactos con dominios relacionados con Sodinokibi. Este documento contiene información actualizada y relevante sobre este caso.

Antecedentes:

Sodinokibi es un ransomware que afecta a los sistemas Windows, se propaga a través del modelo RAAS (Ransomware-as-a-Service) que se comercializa de forma personalizada y se ajusta a las necesidades de cada uno de los suscriptores. Aquí hay un ejemplo de una máquina infectada.

Lumu ha detectado un aumento en el contacto con IoC relacionados con este ransomware en todo el mundo y ya hay casos confirmados en grandes compañías de telecomunicaciones. En el caso de que se realicen contactos a esta infraestructura, un ataque de ransomware puede ser inminente.

URL comprometidas:

Si su infraestructura se conecta con el siguiente IoC, siga las recomendaciones descritas en esta alerta:

● hxxp: // gonzalezfornes [.] es

● hxxp: // ohidesign [.] com

● hxxp: // danangluxury [.] com

Recomendaciones:

● Identifique dispositivos infectados y elimine el ransomware.

● Supervise continuamente si su infraestructura que está tratando de hacer conexión a estos dominios o URL.

● Mantenga las copias de seguridad actualizadas en caso de que esté infectado con Ransomware.

● Mantenga actualizados los antivirus y los sistemas operativos.

● En caso de verse afectado, no suficiente para realizar solo mitigación. Identifique los dispositivos afectados y elimine el ransomware

● Monitoree las computadoras remotas de su organización.

● Contáctese con un SOC o un CERT para solicitar el apoyo consultivo.