Uwaga na ransomware "Sodin" – wykorzystuje lukę w systemach Windows
Ransomware atakuje po raz kolejny. Analitycy bezpieczeństwa z firmy Kaspersky Lab zwracają uwagę na oprogramowanie żądające okupu "Sodin", które wykorzystuje lukę CVE-2018-8453 w systemach Windows – wykrytą i załataną jeszcze pod koniec ubiegłego roku. Opisywany przypadek pokazuje, jak istotne jest dbanie o bieżącą instalację aktualizacji.
Oprogramowanie potrafi zwiększyć swoje uprawnienia, a następnie zaszyfrować dane – w tym przypadku nie tylko w firmach i instytucjach, jak ostatnio dzieje się to najczęściej, ale także na komputerach indywidualnych użytkowników. Atakujący żądają zapłacenia równowartości niecałych 10 tys. złotych w zamian za możliwość ponownego odczytania dokumentów. Płatność ma być wykonana w bitcoinach.
Jak podaje Kaspersky, Sodin jest najpewniej elementem schematu RaaS. W praktyce chodzi o stosowanie kodu oprogramowania wykorzystywanego przez zaawansowane grupy przestępcze, który jest następnie dodatkowo modyfikowany.
W przypadku ransomware Sodin problemem jest także sposób dystrybucji: interakcja ze strony użytkownika nie jest w tym przypadku konieczna. Przestępcy w większości analizowanych przypadków znajdowali podatny na ataki serwer i zmuszali go do pobrania szkodliwego kodu pod postacią pliku radm.exe.[wppl=2022795]Ataki wykryto m.in. w NiemczechZe statystyk wynika, iż Sodin rozpowszechniany jest przede wszystkim w Azji. Ponad 17 proc. ataków wykryto w Tajwanie, niecałe 10 proc. w Hongkongu, a niecałe 9 proc. w Republice Korei. Ataki pojawiają się jednak także w Europie (ponad 8 proc. w Niemczech, ponad 5 proc. we Włoszech) oraz Ameryce. Wykrycie oprogramowania Sodin jest kłopotliwe, bowiem program wykorzystuje technikę Heaven's Gate. Pozwala ona przełączać się pomiędzy trybami wykonywania aplikacji i ma związek z architekturą.
- Chociaż oprogramowanie ransomware to niezwykle popularny rodzaj szkodliwego oprogramowania, nieczęsto można spotykać tak rozbudowaną i zaawansowaną wersję: wykorzystywanie architektury procesora w celu uniknięcia wykrycia to rzadko stosowana praktyka wśród szkodliwych programów szyfrujących - tłumaczy Fiedor Sinicyn, badacz ds. cyberbezpieczeństwa w firmie Kaspersky. - Spodziewamy się wzrostu liczby ataków z udziałem szkodnika Sodin, ponieważ stworzenie go wymagało ogromnych zasobów. Ci, którzy zainwestowali w rozwój szkodnika, z pewnością oczekują zwrotu z inwestycji.
Kaspersky dodaje, że opisywane oprogramowanie jest oznaczane przez jego mechanizmy zabezpieczające jako Trojan-Ransom.Win32.Sodin.
