Ransomware Sodinokibi: Qué Es, Cómo Funciona Y Cómo Desencriptarlo

Descubre la última guía de Help Ransomware sobre el ransomware Sodinokibi: qué es, cómo funciona y cómo desencriptarlo.

¿Qué es el ransomware Sodinokibi?

Sodinokibi, también conocido como REvil, es un ransomware muy poderoso que ataca los dispositivos encriptando los archivos de los usuarios.

Como todo ransomware, pide un rescate a cambio de los datos.

Ronda los 0,5 bitcoins, correspondiente a unos 4.000 dólares.

Según el informe de IBM, los piratas informáticos detrás del ransomware Sodinokibi ganaron 123 millones de dólares en 2020, robando alrededor de 21,6 terabytes de datos.

Qué es el ransomware Sodinokibi Help Ransomware

Según informó la agencia gubernamental estadounidense CISA (Agencia de Servicios de Infraestructura y Ciberseguridad), uno de los ataques más prolíficos afectó este verano a la empresa de software Kaseya.

Se le pidió a la compañía $70 millones en bitcoins por la clave de descifrado y la promesa de no publicar los datos robados.

Por lo general, la falta de pago del rescate hace imposible recuperar los archivos encriptados: los datos se destruyen o bloquean permanentemente.

Normalmente, es difícil darse cuenta de haber sido atacado por un ransomware y, cuando lo haces, ya es demasiado tarde.

Un síntoma del ataque es la imposibilidad de abrir los archivos en tu dispositivo.

Por otro lado, es probable que estos documentos, fotos, etc. tengan una extensión diferente, por ejemplo my.docx.locked.

¿Quién está detrás del ransomware Sodinokibi?

Descubrir quién estaba detrás del ransomware Sodinokibi no es fácil y esta pregunta aún no tiene una respuesta única.

Más información sobre REvil estuvo disponible a partir de enero de 2020, cuando varios especialistas en seguridad cibernética y policías unieron fuerzas.

De hecho, como señala el Secretario General de INTERPOL, Jürgen Stock:

“Este ransomware se ha convertido en una amenaza demasiado grande para que cualquier entidad o sector lo maneje solo; la magnitud de este desafío requiere urgentemente una acción global”.

Quién está detrás del ransomware Sodinokibi Help Ransomware

Una investigación coordinada de INTERPOL condujo al arresto de muchos piratas informáticos responsables de los ataques de ransomware Sodinokibi.

Se cree que los autores del virus son de origen ruso y tienen una conexión con los creadores del ransomware GandCrab.

Este dato fue confirmado por uno de los primeros grupos de hackers, llamado Lalartu, responsable de diversos delitos informáticos.

Sin embargo, el principal problema del ransomware Sodinokibi es que utiliza tecnología Raas.

Esto significa que se está desarrollando continuamente con nuevas versiones derivadas y diferentes configuraciones.

Por ejemplo, en julio se lanzó un ataque en el que participaron más de 1.500 afiliados, que afectó a más de 1.000 empresas al mismo tiempo.

Quién está detrás del ransomware Sodinokibi guia Help Ransomware

Las investigaciones han demostrado que algunos grupos de hackers incluso se esconden en sitios de wordpress.

Alternativamente, se puede acceder a ellos a través del protocolo XMPP, un servicio de mensajería instantánea, que permite el uso de un canal seguro.

¿Cómo funciona el ransomware Sodinokibi?

Como se mencionó anteriormente, el ransomware Sodinokibi funciona como un ransomware-as-a-service (Raas).

Esta forma de difundir el malware implica la presencia de dos grupos que colaboran en las actividades de piratería.

Por un lado, están los desarrolladores del código ransomware.

Por otro lado, los afiliados, que eligen los objetivos a los que atacar y son responsables de la propagación del virus y del rescate.

Estos son algunos de los métodos más comunes mediante los cuales se distribuye el ransomware Sodinokibi:

  • Ataques de fuerza bruta;
  • Campañas de phishing, a través de archivos adjuntos infectados;
  • Sitios web de torrent;
  • Malvertising.

Otro método muy común implica el uso de exploits que aprovechan las vulnerabilidades del servidor, como fue el caso de Oracle WebLogic.

El virus puede eludir el software antivirus y, así, ingresar al dispositivo.

Una vez dentro, el ransomware Sodinokibi descarga un archivo .zip con el código de rescate.

Enseguida, se desplaza por la red para cifrar los archivos, a los que añade una extensión aleatoria.

Así aparece la pantalla de un ordenador infectado con REvil.

Cómo funciona el ransomware Sodinokibi Help Ransomware

En lugar de poner las instrucciones en el texto de la nota de rescate, los criminales detrás de Sodinokibi dirigen a los usuarios a dos sitios web:

  • Un sitio .onion alojado en software libre TOR;
  • Un sitio ubicado en la parte pública de la web, registrado con el dominio “descifrador”.

El ransomware Sodinokibi también puede modificar la configuración del sistema operativo para redirigir el tráfico de Internet a un servidor controlado por los piratas informáticos.

Al hacerlo, se comportará como un spyware, lo que permitirá a los delincuentes espiar las actividades de la víctima.

Este comportamiento, junto con la recopilación de datos, convierte a Revil Sodinokibi en una amenaza muy peligrosa.

¿El ransomware Sodinokibi puede robar datos?

Sí, a diferencia del ransomware Phobos, el ransomware Sodinokibi puede robar datos.

Una de las técnicas utilizadas por los piratas informáticos es robar datos de las víctimas antes de cifrar los dispositivos.

Los archivos robados se utilizarán en beneficio de los delincuentes para extorsionar el rescate.

El virus ingresa al dispositivo y comienza a instalar varios troyanos para permitir que los piratas informáticos actúen de forma remota.

Al mismo tiempo, el ransomware busca información y bloquea archivos con cifrado.

Abrir archivos cifrados es una operación muy difícil que requiere habilidades específicas en el campo de la ciberseguridad y del descifrado.

Ponte en contacto con los especialistas de Help Ransomware para solucionar el problema de forma rápida y segura.

¿Cómo desencriptar el ransomware Sodinokibi?

Anteriormente te proporcionamos una guía con herramientas de descifrado de ransomware.

En este caso, sin embargo, debe tener en cuenta que la eliminación manual puede ser un proceso largo y complicado.

Bitdefender lanzó una herramienta de descifrado universal descargable y gratuita.

El objetivo es ayudar a las víctimas del ransomware Sodinokibi a recuperar sus archivos cifrados.

El descifrador fue desarrollado junto con la policía y esto confirma su efectividad.

Sin embargo, esta herramienta solo funciona con archivos cifrados antes del 13 de julio de 2021.

Para asegurarte de eliminar el problema de raíz y poder recuperar los archivos cifrados, la mejor opción es ponerte en contacto con especialistas.

Contacta con Help Ransomware para recibir una primera evaluación gratuita de ransomware:

  • Detén todo contacto con el ciberdelincuente y proporciona a nuestros expertos la nota de rescate y un archivo infectado;
  • Analizaremos el ataque de ransomware; en base a esto, se estiman los costos y tiempos del proceso de recuperación;
  • Se inicia el proceso de descifrado de datos, con un servicio 100% garantizado;
  • Tus archivos se recuperarán y entregarán en poco tiempo.

La empresa lleva más de 28 años dedicada exclusivamente a la ciberseguridad y es líder mundial en este sector.

Tener especialistas a tu lado es esencial con un ransomware tan agresivo.

Los piratas informáticos detrás del ransomware Sodinokibi castigan a cualquiera que intente eliminar el virus de su computadora.

La gravedad de sus amenazas se puede ver en el hecho de que a menudo han publicado los datos de las víctimas en línea, para advertir a otros contra cualquier intento de eliminar el malware.

Por esta razón, siempre debe considerar que la mejor respuesta a un ataque de ransomware es una actitud proactiva.

Tome medidas para prevenir ataques de ransomware para proteger su computadora y su privacidad.

¿Debo pagar el rescate del ransomware Sodinokibi?

No, jamás debes pagar el rescate por el ransomware Sodinokibi.

Es inútil darse la vuelta, nunca debes pagar el rescate.

Denuncia el ataque a la Policía Nacional y ponte en contacto de inmediato con los especialistas de Help Ransomware para restaurar los archivos cifrados.

Pagar el rescate debería ser la última opción en la que pienses, porque es solo una forma de alentar a los piratas informáticos a actuar de manera agresiva.

Además, el ransomware Sodinokibi tiene un modo de acción particular llamado doble extorsión.

Este método fue introducido por los creadores del ransomware Maze; luego, también fue explotado por otros malware como Sodinokibi, DoppelPaymer y Nemty.

La doble extorsión obliga a la víctima a pagar el rescate incluso si tiene una copia de seguridad utilizable.

Como mencionamos anteriormente, los datos extraídos del primer cifrado se roban y se exponen en un sitio público o en la Dark Web.

Al hacerlo, los piratas informáticos presionan a la víctima para que pague el rescate para evitar la divulgación de información personal.

Esta amenaza tiene un fuerte impacto tanto en las personas como en las empresas.

No es una casualidad que el sector más afectado por el ransomware Sodinokibi sea el de los servicios financieros, que almacenan información bancaria de sus usuarios.

Debo pagar el rescate del ransomware Sodinokibi Help Ransomware

En segundo lugar están las industrias manufactureras, sobre todo a causa de las patentes.

Conclusiones

Estas son las conclusiones que puede extraer de nuestro artículo sobre el ransomware Sodinokibi:

  • Sodinokibi, también conocido como REvil, es un ransomware muy poderoso que ataca los dispositivos encriptando archivos;
  • Los piratas informáticos detrás de Sodinokibi ganaron 123 millones de dólares en 2020;
  • El ransomware Sodinokibi funciona como ransomware-as-a-service (Raas);
  • Sodinokibi puede robar los datos de la víctima y difundirlos en la web para obtener el rescate.

Recuerda que no importa lo peligrosa pueda ser la amenaza, nunca debes pagar el rescate.

Ponte en contacto con Help Ransomware para recuperar los archivos cifrados: el servicio está 100% garantizado.

Deja un comentario