Kaspersky scopre un nuovo ransomware, denominato Sodin, che sfrutta una pericolosa vulnerabilità zero-day di Windows per ottenere privilegi speciali.
Il ransomware, ovvero la crittografia o il blocco di dati e di dispositivi accompagnati da una richiesta di denaro, rappresenta una minaccia informatica che colpisce individui e organizzazioni di tutte le dimensioni in tutto il mondo. La maggior parte delle soluzioni di sicurezza rileva versioni note e consolidate di vettori d’attacco. Tuttavia, approcci sofisticati come quello di Sodin, che sfrutta una vulnerabilità zero-day scoperta di recente in Windows (CVE-2018-8453) per ottenere privilegi, sono in grado di passare inosservati per qualche tempo.
L’impressione è che questo malware faccia parte di uno schema RAAS (Ransoware As A Service): ciò significa che chi lo diffonde è libero di scegliere in che modo propagare l’encryptor. Alcune evidenze dimostrano che il malware viene distribuito tramite un programma di affiliazione di altri criminali. Una di queste prove, ad esempio, è un meccanismo lasciato dagli sviluppatori del malware all’interno delle sue funzionalità che permette loro di decriptare i file senza che gli affiliati lo scoprano: una “master key” che non richiede alcuna chiave di distribuzione per la decriptazione. Normalmente, le chiavi di distribuzione sono quelle usate per decriptare i file delle vittime che hanno pagato il riscatto. Questa funzionalità potrebbe essere utilizzata dagli sviluppatori per controllare la decrittazione dei dati delle vittime o la distribuzione del ransomware, ad esempio, escludendo alcuni distributori dal programma di affiliazione, rendendo il malware inutile.
Inoltre, di solito, il ransomware richiede una qualche forma di interazione con l’utente, come l’apertura di un allegato o di una email o il click su un link malevolo. I criminali che hanno utilizzato Sodin, invece, non hanno avuto bisogno di questo escamotage poiché si sono limitati a cercare un server vulnerabile al quale inviare un comando per scaricare il file malevolo “radm.exe”. Successivamente, il ransomware veniva salvato localmente ed eseguito.
La maggior parte degli obiettivi del ransomware Sodin sono stati trovati nella regione asiatica: il 17,6% degli attacchi è stato rilevato a Taiwan, il 9,8% a Hong Kong e l’8,8% nella Repubblica di Corea. Diversi attacchi sono stati rilevati anche in Europa, Nord America e America Latina. L’avviso lasciato dal ransomware sui PC infetti richiedeva ad ogni vittima 2500 dollari (USD) di Bitcoin.
Ciò che rende Sodin ancora più difficile da rilevare è l’impiego della tecnica “Heaven’s Gate”. Questa pratica permette a un programma malevolo di eseguire un codice a 64 bit da un processo in esecuzione a 32 bit, il che non è una prassi comune e non accade spesso con i ransomware.
Per evitare di cadere nella trappola di Sodin, gli esperti di sicurezza di Kaspersky consigliano alle aziende di:
– Assicurarsi che il software usato dall’azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi.
– Utilizzare una soluzione di sicurezza solida come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento behaviour-based per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.