Sodinokibi es un ransomware que ha adquirido una gran relevancia en los últimos tiempos. Tal y como abordamos en el blog el año pasado, resultó ser una evolución de GandGrab, responsable de incidentes en miles de organizaciones mediante campañas de phishing. En este caso, Sodinokibi es un ransomware para sistemas operativos Windows que sigue el modelo RaaS (Ramsonware as a Service): un código malicioso que sus creadores ajustan de manera personalizada para otros “clientes” suscriptores.

Chantaje de REvil_

La novedad ahora es que el grupo responsable de Sodinokibi (también conocido como REvil) vuelve a estar de actualidad: hace unas semanas, la agencia de noticias Bloomberg informó que se hizo con información comprometida de Quanta, una compañía taiwanesa que es uno de los principales proveedores de componentes para Apple.

Aunque Quanta es una compañía con un valor significativo por sí misma y trabaja como proveedor para otras grandes compañías tecnológicas como Facebook y HP, los ciberatacantes buscaron específicamente la información que tenían sobre su cliente Apple, lo que demuestra la naturaleza de este incidente como un ciberataque de cadena de suministro.

De hecho, el grupo obtuvo 15 imágenes y planos de lo que parecían ser futuros modelos de Macbooks que incluían números de serie específicos, tamaños y características, con un alto grado de detalle de todas sus partes. Acto seguido, puso una nota (ya suprimida) en su blog de la Dark web exigiendo un rescate de 50 millones de dólares a la compañía bajo la amenaza de publicar nueva información confidencial cada día. Sin embargo, Bleeping computer informó de que el plazo del rescate se amplió hasta este mes de mayo y la cuantía se rebajó a 20 millones como parte de las negociaciones con la compañía, que ahora amenaza también con desvelar información sobre el nuevo iPad y los nuevos logos de la compañía.

quanta-ataque

Mensaje de extorsión de REvil a Quanta. Fuente: Bleeping Computer

Backups imprescindibles_

Hasta el momento, aunque parece haber negociaciones, no hay una confirmación oficial sobre si Quanta ha accedido o accederá a pagar el rescate. Sin embargo, las estadísticas muestran que muchas organizaciones no logran su objetivo con estos pagos: el 92% de las que acceden a ello no recuperan sus datos, de acuerdo con un estudio de analistas de ciberseguridad. Aun así, muchas continúan haciéndolo: según ese mismo informe, el número de organizaciones que pagan rescates ha crecido durante este año un 32% con respecto al año pasado.

En cualquier caso, antes de llegar a ese planteamiento, conviene que las organizaciones tomen medidas para evitar que los ransomware tengan éxito. En este sentido, tal y como comentamos con el incidente de Ryuk con el Servicio Público Estatal de Empleo (SEPE) español, es muy importante tener unos backups actualizados de manera frecuente y separados de los sistemas principales para poder restaurar los datos lo antes posible.

Zero Trust y soluciones integrales_

El caso de Quanta arroja más lecciones: el hecho de que una información tan sensible de Apple se haya visto comprometida con un proveedor bajo ciberataque a la cadena de suministro demuestra que el enfoque Zero Trust es imprescindible: los partners, sus archivos y sus actividades que son legítimos podrían ser el vector de entrada para una amenaza: otro ejemplo reciente de esto lo constituye Sunburst como malware responsable del ciberataque a Solarwinds, un software que utilizan muchas grandes compañías. Por eso, es conveniente que las organizaciones cuenten con herramientas de ciberseguridad avanzadas que partan siempre de la premisa Zero Trust, con el fin de desconfiar por defecto sobre cualquier archivo o actividad en la red y analizarlo antes de ejecutarse en los sistemas. Ese es el caso de Cytomic, ya que Zero Trust es un pilar clave en sus soluciones para seguridad en el Endpoint.

Pero además, para estar preparado frente a las amenazas que pueden llegar de grupos tan sofisticados como REvil, se necesita que la solución sea integral y lo más completa posible: Cytomic Covalent es la respuesta a esa necesidad, ya que combina todas las capacidades preventivas de Cytomic EPDR con las funcionalidades de Threat Hunting de Cytomic Orion para acelerar la respuesta a incidentes y búsqueda de amenazas malwareless. De esta manera, los chantajes como el que ha sufrido Quanta como proveedor de Apple serán mucho menos probables.