“Ambas víctimas son grandes organizaciones con múltiples sedes que probablemente fueron capaces de pagar un gran rescate” dijo Symantec, añadiendo que los atacantes estaban usando el malware Cobalt Strike para distribuir cargas útiles de rescate de Sodinokibi.

La red de entrega de contenidos CloudFront (CDN) es descrita por Amazon como “una forma de dar a las empresas y a los desarrolladores de aplicaciones web una manera fácil y rentable de distribuir contenido con baja latencia y altas velocidades de transferencia de datos”. Los usuarios pueden registrar cubos S3 para contenido estático e instancias EC2 para contenido dinámico, y luego utilizar una llamada a la API para habilitar un nombre de dominio CloudFront.net que puede ser utilizado para distribuir contenido de los servidores de origen a través del servicio Amazon CloudFront. 

Symantec informa que el dominio malicioso era d2zblloliromfu.cloudfront.net.

El malware se distribuía utilizando herramientas legítimas de clientes de administración remota, dijo Symantec, incluyendo una de NetSupport Ltd, y otra utilizando una copia de la herramienta de acceso remoto AnyDesk para distribuir la carga útil. Los atacantes también estaban utilizando el malware Cobalt Strike para llevar el ransomware Sodinokibi a las víctimas.

Los atacantes también, inusualmente, escaneaban los sistemas de puntos de venta expuestos como parte de la campaña, señaló Symantec. El rescate que exigieron fue significativo.

“Los atacantes solicitaron que el rescate se pagara en la criptodivisa Monero, que es preferida por su privacidad ya que, a diferencia de Bitcoin, no se puede hacer un seguimiento de las transacciones. Por esta razón no sabemos si alguna de las víctimas pagó el rescate, que fue de 50.000 dólares si se pagaba en las primeras tres horas, aumentando a 100.000 dólares después de ese tiempo”.

Comparta este contenido