Sodin – nowy ransomware wykorzystuje podatność w Windows w celu eskalacji uprawnień

Badacze z Kaspersky Lab informują o wykryciu nowego ransomware o nazwie Sodin. Tradycyjnie szyfruje pliki i żąda okupu za odszyfrowanie (płacenie nie jest zalecane, bo w ten sposób wspieramy przestępców). Wszystko wskazuje na to, że malware rozprowadzane jest jako usługa w modulu RaaS.

Sodin korzysta z podatności CVE-2018-8453, która pozwala na zwiększenie uprawnień. Przestępcy wyszukiwali (prawdopodobnie za pomocą wyszukiwarek typu Shodan, ale w informacji nie jest to wyjaśnione) podatne systemy, którym ochronę zapewniał antywirus Webroot, po czym wykonywali polecenie (za pomocą droppera, czyli “malware pobierającego inne malware”) pobrania pliku radm.exe, a więc opisywanego zagrożenia.

Ciekawa jest technika dot. architektury procesora zastosowana w Sodinie:

Wykrycie szkodnika Sodin utrudnia dodatkowo wykorzystywanie przez niego techniki „Heaven’s Gate”. Pozwala ona szkodnikowi wykonać kod 64-bitowy z procesu 32-bitowego, co nie jest powszechną praktyką i nieczęsto występuje w oprogramowaniu ransomware.

Pewien użytkownik Reddita napisał, że atakujący uzyskuje dostęp do maszyny poprzez protokół RDP, zwiększa uprawnienia, dezaktywuje antywirusa i kopie zapasowe, a następnie pobiera Sodina. Malware zostało zauważone głównie w Azji (Tajwan, Hongkong, Korea Południowa). Nie oznacza to jednak, że użytkownicy systemu Windows na innych kontynentach mogą czuć się bezpiecznie.

Standardowo przede wszystkim należy pamiętać o regularnym wykonywaniu kopii zapasowych. 

–mg