Sodin, un ransomware que explota una vulnerabilidad zero-day de Windows
- Endpoint
La mayoría de los objetivos de Sodin se han detectado en Asia, pero también se han observado ataques en Europa. El ransomware exige a sus víctimas un pago de 2.500 dólares en Bitcoins. Hay indicios de que el malware se está distribuyendo a través de un programa de afiliados.
Los investigadores de Kaspersky han descubierto un nuevo ransomware de cifrado llamado Sodin, que explota una vulnerabilidad zero-day de Windows descubierta recientemente (CVE-2018-8453) para obtener elevación de privilegios en un sistema infectado, la cual aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar la detección. Además, en algunos casos el malware no requiere la interacción del usuario y los atacantes simplemente lo colocan en servidores vulnerables.
El malware parece ser parte de un esquema de ransomware como servicio, lo que significa que sus distribuidores pueden elegir libremente la forma en que se propaga el cifrador. Hay indicios de que el malware se está distribuyendo a través de un programa de afiliados. Por ejemplo, los desarrolladores del malware han dejado un vacío en la funcionalidad del malware que les permite descifrar los archivos sin que sus afiliados sepan: una 'clave maestra' que no requiere una clave de distribuidor para el descifrado (normalmente las claves de distribuidor son las que utilizado para descifrar los archivos de las víctimas que pagaron el rescate). Los desarrolladores podrían utilizar esta función para controlar el descifrado de los datos de la víctima o la distribución del ransomware, por ejemplo, eliminando a ciertos distribuidores del programa de afiliados haciendo que el malware sea inútil.
Además, generalmente el ransomware requiere algún tipo de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los atacantes que utilizaron Sodin no necesitaban esa ayuda: normalmente encontrarían un servidor vulnerable y enviarían un comando para descargar un archivo malicioso llamado "radm.exe", que guardó el ransomware localmente y lo ejecutó.
La mayoría de los objetivos de Sodin se encontraron en la región asiática: el 17,6% de los ataques se han detectado en Taiwán, el 9,8% en Hong Kong y el 8,8% en la República de Corea. Sin embargo, también se han observado ataques en Europa, Norteamérica y América Latina. La nota que el ransomware deja en los PC infectados exige 2.500 dólares en Bitcoins a cada víctima.
Lo que hace que Sodin sea aún más difícil de detectar es el uso de la técnica "Heaven's Gate". Esto permite que un programa malintencionado ejecute código de 64 bits a partir de un proceso de ejecución de 32 bits, lo cual no es una práctica común en ransomware. La técnica se usa para eludir la detección basada en emulación, un método para descubrir amenazas previamente desconocidas que involucra el lanzamiento de código que se comporta de manera sospechosa en un entorno virtual que se parece a un PC real.
“El ransomware es un tipo de malware muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para volar bajo el radar no es una práctica común para los encriptadores. Esperamos un aumento en la cantidad de ataques que involucran al cifrador Sodin, ya que la cantidad de recursos que se requieren para crear dicho malware es significativa. Aquellos que invirtieron en el desarrollo del malware definitivamente esperan que se les pague generosamente", afirma Fedor Sinitsyn, investigador de seguridad de Kaspersky.