Kaspersky: Sodin-ransomware gebruikt zero day in Windows en CPU-architectuur

De ransomware Sodin gebruikt een zero day-lek in Windows, om onder meer toegangsrechten te verkrijgen voor geïnfecteerde systemen. Daarnaast gebruikt het de CPU-architectuur om detectie te voorkomen. Volgens onderzoekers van Kaspersky komt dat nauwelijks voor bij ransomware.

De Sodin-malware is een Ransomware-as-a-Service, wat betekent dat distributeurs zelf kunnen kiezen op welke manier de malware zich verspreidt. Volgens Kaspersky zijn er aanwijzingen dat het via de online verkoop van partnerprogramma’s wordt verspreid.

In dat geval zit er bijvoorbeeld een gat in de functionaliteit van de malware, waarmee ze bestanden kunnen versleutelen zonder dat een gebruiker dit merkt. Dankzij een masterkey is er geen distributeurssleutel nodig voor de versleuteling.

Servers

Het is bijvoorbeeld opvallend, zo gaat de beveiligingsspecialist verder, dat de malware geen interacties van gebruikers nodig heeft om op kwetsbare servers terecht te komen. In veel gevallen vinden de aanvallers een kwetsbare server en sturen ze een commando om een malafide bestand genaamd radm.exe te downloaden. Op die manier wordt de ransomware op een lokale computer opgeslagen en uitgevoerd.

Sodin is bovendien moeilijk te detecteren, omdat het de Heaven’s Gate-techniek gebruikt. Met die techniek kan een programma 64-bits code uitvoeren vanuit een 32-bits actief proces. Volgens de onderzoekers van Kaspersky doet ransomware dit vrijwel nooit.

De onderzoekers denken dat de hackers de techniek om twee verschillende redenen inzetten. Allereerst is dit om de analyse van kwaadaardige code moeilijker te maken, aangezien niet iedereen de techniek kent en herkent. Daarnaast wordt detectie door beveiligingsprogramma’s voorkomen.

Azië

Jornt van der Wiel, beveiligingsexpert bij Kaspersky, geeft aan dat een “uitgebreide en verfijnde variant” van ransomware als Sodin weinig wordt tegen gekomen. “De CPU-architectuur gebruiken om onder de radar te blijven, is geen gangbare praktijk voor encryptors. Er komt bovendien heel wat bij kijken om dergelijke malware te bouwen. Daarmee is het waarschijnlijk dat aanvallen met Sodin-encryptie toe gaan nemen. De ontwikkelaars willen natuurlijk hun investeringen terugverdienen”.

Sodin heeft vooral devices in de Aziatische regio getroffen, maar er zijn ook aanvallen in Europa, Latijns-Amerika en Noord-Amerika waargenomen. De ransomware laat na het infecteren en versleutelen een losgeldbrief achter, waarin 2.500 dollar in bitcoins geëist wordt.