Comunicados CCN-CERT

Nuevo informe de código dañino sobre la familia de ransomware Sodinokibi

  • Este documento puede consultarse en la parte pública del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-26/19’ recoge el análisis de la muestra de código dañino identificada por la firma MD5 1524B237E65D52AA7E2ADD5DBDCC7C05, perteneciente a la familia de ransomware Sodinokibi.
  • Entre los contenidos más destacados incluidos en el documento se encuentra un resumen ejecutivo, los detalles generales y un análisis técnico del ejecutable de 32 bits analizado y la persistencia del código dañino. Asimismo, se incluyen las reglas de detección YARA e IOC.

El Informe de Código Dañino CCN-CERT ID-27/19 “Sodinokibi” ya está disponible para su consulta en la parte pública del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la muestra de código dañino identificada por la firma MD5 1524B237E65D52AA7E2ADD5DBDCC7C05, perteneciente a la familia de ransomware Sodinokibi.

El principal objetivo de esta muestra es cifrar los ficheros del sistema afectado para, posteriormente, solicitar el pago de un rescate en bitcoins a cambio de la herramienta de descifrado. Sodinokibi sigue el modelo de RaaS (Ransomware-as-a-Service), de forma que es desarrollado y mantenido por un grupo y comercializado para que otros grupos afiliados lo utilicen en sus ataques.

Este código maligno utiliza diferentes técnicas de ofuscación y encriptación para dificultar su análisis. En cuanto a la muestra analizada, un ejecutable de 32 bits sin firma digital, si bien no está configurada para instalar persistencia en el sistema, sí dispone del código necesario para ello.

En el documento se pueden consultar otros detalles acerca de Sodinokibi, así como un análisis técnico. Además, se incluyen las reglas de detección YARA e IOC.

CCN-CERT (16/12/2019)

Informe de Código Dañino CCN-CERT ID-27/19 “Sodinokibi”

 

Ministerio de Defensa
CNI
CCN
CCN-CERT