La Policía Cibernética del estado de San Luis Potosí, ha alertado por un ransomware nuevo, denominado Sodinokibi que explota la vulnerabilidad de los servidores de los usuarios, al intentar encriptar los datos en el directorio de un usuario y eliminar las copias de seguridad de instantáneas para dificultar la recuperación de los datos.
¿Cómo lo hace?
- Se ejecuta un código arbitrario de forma remota a través de una petición de HTTP hecha a medida y sin ninguna autorización requerida por parte del servidor, lo que es muy fácil de ejecutar por los atacantes.
Medidas de seguridad
Detectado en el ciberpatrullaje, este malware ataca el servidor de WebLogic de Oracle, por lo que se recomienda:
- Actualizar medidas de seguridad.
- Realizar un análisis de seguridad con el equipo de TI de la organización si es necesario.
- Parchar WebLogic lo antes posible.
- Restringir el acceso de la cuenta para ejecutar el proceso de WebLogic.
- Controlar accesos.
- Restringir las comunicaciones del Data Center.
- Configurar PowerShell para ejecutar solo scripts firmados.