Badacze z firmy Kaspersky wykryli nowe oprogramowanie ransomware o nazwie Sodin, które wykorzystuje zidentyfikowaną niedawno lukę dnia zerowego w zabezpieczeniach systemu Windows w celu zwiększenia poziomu uprawnień w zainfekowanym systemie oraz architekturę procesora w celu uniknięcia wykrycia. Ponadto, w niektórych przypadkach szkodnik nie wymaga interakcji użytkownika i zostaje po prostu zainstalowany w podatnych na ataki serwerach przez cyberprzestępców.


Oprogramowanie ransomware – szyfrujące dane lub blokujące dostęp do urządzeń wraz z żądaniem okupu – to od dawna znane cyberzagrożenie, którego ofiarą mogą paść konsumenci oraz organizacje dowolnych rozmiarów na całym świecie. Większość rozwiązań bezpieczeństwa wykrywa dobrze znane wersje i wektory takich ataków. Jednak szkodniki stosujące zaawansowane podejście, takie jak Sodin, który wykorzystuje wykrytą niedawno lukę dnia zerowego w systemie Windows (CVE-2018-8453) w celu podniesienia poziomu uprawnień, mogą przez długi czas nie wzbudzać żadnych podejrzeń.

 

Wygląda na to, że Sodin jest częścią schematu RaaS (Ransomware as a Service), w ramach którego mniej doświadczeni cyberprzestępcy wynajmują określony szkodliwy kod od bardziej zaawansowanych cybergangów. To oznacza, że jego dystrybutorzy mogą dowolnie wybierać sposób rozprzestrzeniania modułu szyfrującego. Pewne wskazówki sugerują, że szkodnik ten jest rozprzestrzeniany za pośrednictwem programu afiliacyjnego. Na przykład, twórcy szkodnika pozostawili w jego funkcjonalności „furtkę”, która pozwala im odszyfrować pliki bez wiedzy swoich partnerów: jest to „klucz główny”, który nie wymaga klucza dystrybutora w celu odszyfrowania (zwykle to klucze dystrybutora są wykorzystywane do odszyfrowania plików ofiar, które zapłaciły okup). Funkcja ta może być wykorzystywana przez twórców w celu kontrolowania odszyfrowywania danych ofiar lub dystrybucji oprogramowania ransomware poprzez np. wykluczenie określonych dystrybutorów z programu afiliacyjnego przez uczynienie szkodnika bezużytecznym.

 

Oprogramowanie ransomware wymaga zwykle jakiejś formy interakcji z użytkownikiem – np. otwarcia załącznika do wiadomości e-mail czy kliknięcia szkodliwego odsyłacza. Cyberprzestępcy stojący za szkodnikiem Sodin nie potrzebowali takiej pomocy: w większości przypadków znajdowali podatny na ataki serwer i wysyłali polecenie pobrania szkodliwego pliku o nazwie „radm.exe”. Ten następnie zapisywał oprogramowanie ransomware lokalnie i wykonywał je.

 

Większość celów oprogramowania Sodin znajdowało się w regionie azjatyckim: 17,6% ataków zostało wykrytych w Tajwanie, 9,8% w Hongkongu, a 8,8% w Republice Korei. Niemniej jednak ataki zaobserwowano również w Europie, Ameryce Północnej oraz Łacińskiej. Szkodnik pozostawiał na zainfekowanych komputerach żądanie okupu w wysokości około 9,5 tysięcy zł walucie bitcoin.

 

Wykrycie szkodnika Sodin utrudnia dodatkowo wykorzystywanie przez niego techniki „Heaven’s Gate”. Pozwala ona szkodnikowi wykonać kod 64-bitowy z procesu 32-bitowego, co nie jest powszechną praktyką i nieczęsto występuje w oprogramowaniu ransomware.

 

Publikacja: Sebastian Kubiak

Dodaj komentarz

Kod antyspamowy
Odśwież

­