Mesmo com foco na Ásia, atividades do Sodin foram detectadas na Europa, América do Norte e América Latina
“Apesar dos ataques de ransomware terem caído 30% nos últimos dois anos, temos observado uma mudança de comportamento: os hackers têm escolhido os seus alvos tendo em conta seu potencial, dando preferência a grandes instituições e empresas que possam pagar o resgate pedido, diminuindo, assim, o volume de ataques contra usuários domésticos. Este foco em organizações tem como objetivo deixá-las sem sistema por bastante tempo, causando prejuízos consideráveis, o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil.
Os pesquisadores da Kaspersky descobriram um novo ransomware chamado Sodin, que explora uma vulnerabilidade desconhecida (zero-day) do Windows para obter privilégios de administrador nos sistemas infectados, e ainda aproveita a arquitetura da Unidade Central de Processamento para evitar sua detecção – funcionalidade que não é muito comum em ransomware.
Geralmente, este tipo de ameaça requer alguma forma de interação com o usuário – como abrir um anexo enviado por e-mail ou clicar em um link malicioso.
Os invasores que usaram o Sodin não precisavam de tal ajuda, geralmente eles encontravam um servidor vulnerável e enviavam um comando para baixar o arquivo malicioso chamado “radm.exe”, isso bastava para baixar o ransomware e executá-lo.
De acordo com os pesquisadores da Kaspersky, o que dificulta ainda mais a detecção do Sodin é o uso da técnica “Heaven’s Gate”. Isso permite que um programa mal-intencionado execute código de 64 bits de um processo em execução de 32 bits, o que não é uma prática comum e mais incomum em ransomware.
A maioria dos alvos do Sodin foram encontrados na Ásia: 17,6% dos ataques foram detectados em Taiwan, 9,8% em Hong Kong e 8,8% na República da Coreia.
No entanto, também foram identificados ataques na Europa, América do Norte e América Latina. Os criminosos responsáveis por este ransomware exigem como resgate a quantia de US$ 2.500 em Bitcoin da vítima.
Para evitar ser vítima de ransomware como o Sodin, os especialistas da Kaspersky aconselham as empresas a:
• Certificarem que todos os softwares usados na empresa sejam atualizados. Produtos de segurança com gerenciamento de vulnerabilidades e de atualizações podem automatizar esses processos;
• Utilize uma solução de segurança robusta, como o Kaspersky Endpoint Security for Business, equipada com recursos de detecção baseada em comportamento para proteção eficaz contra ameaças conhecidas e desconhecidas, incluindo exploits.
Todas as soluções de segurança da Kaspersky detectam o ransomware como Trojan-Ransom.Win32.Sodin. A vulnerabilidade CVE-2018-8453 que o ransomware usa foi detectada anteriormente pelas tecnologias da Kaspersky em campanhas malicioasas que os pesquisadores acreditam ser do grupo FruityArmor.
A vulnerabilidade foi corrigida em 10 de outubro de 2018.
Para mais informações, acesse o relatório completo em Securelist.com.