Аналитики «Лаборатории Касперского» опубликовали детальный отчет о шифровальщик еSodin (также известен как Sodinokibi и REvil), который эксплуатирует уязвимость нулевого дня в Windows (CVE-2018-8453) для повышения привилегий, а также использует для маскировки архитектурные особенности процессора, что нечасто встречается в малвари такого типа.
Sodin требует у своих жертв выкуп в биткоинах, эквивалентный 2500 долларов США. Большая часть пострадавших находится в Азиатско-Тихоокеанском регионе: на Тайване, в Гонконге и Южной Корее.
Эксперты обнаружили Sodin в первой половине 2019 года, и он сразу привлек внимание специалистов: шифровальщик эксплуатировал уязвимость в Oracle Weblogic и атаки на MSP-провайдеров. Затем более детальный анализ выявил и эксплуатацию вышеупомянутой уязвимости в Windows, которую ранее активно использовала хак-группа FruityArmor.
Некоторые признаки позволяют предположить, что Sodin распространяется по RAAS-модели (Ransomware-as-a-Service), то есть продается на черном рынке. С этим связана интересная особенность малвари. Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Но функциональность Sodin содержит интересную лазейку, которая позволяет его авторам иметь возможность расшифровывать файлы втайне от распространителей.
Чтобы затруднить анализ вредоносного кода программами-отладчиками и усложнить обнаружение этого шифровальщика защитными решениями, злоумышленники используют редкую в случае программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-разрядный код в 32-разрядном процессе.
Методы распространения данного шифровальщика в большинстве случаев не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники компрометируют серверы, на которых запущено уязвимое ПО, и незаметно для жертвы устанавливают малварь в систему.
Sodin требует у своих жертв выкуп в биткоинах, эквивалентный 2500 долларов США. Большая часть пострадавших находится в Азиатско-Тихоокеанском регионе: на Тайване, в Гонконге и Южной Корее.
Эксперты обнаружили Sodin в первой половине 2019 года, и он сразу привлек внимание специалистов: шифровальщик эксплуатировал уязвимость в Oracle Weblogic и атаки на MSP-провайдеров. Затем более детальный анализ выявил и эксплуатацию вышеупомянутой уязвимости в Windows, которую ранее активно использовала хак-группа FruityArmor.
Некоторые признаки позволяют предположить, что Sodin распространяется по RAAS-модели (Ransomware-as-a-Service), то есть продается на черном рынке. С этим связана интересная особенность малвари. Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Но функциональность Sodin содержит интересную лазейку, которая позволяет его авторам иметь возможность расшифровывать файлы втайне от распространителей.
Чтобы затруднить анализ вредоносного кода программами-отладчиками и усложнить обнаружение этого шифровальщика защитными решениями, злоумышленники используют редкую в случае программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-разрядный код в 32-разрядном процессе.
Методы распространения данного шифровальщика в большинстве случаев не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники компрометируют серверы, на которых запущено уязвимое ПО, и незаметно для жертвы устанавливают малварь в систему.
«Вымогатели остаются очень распространенной угрозой, хотя мы по-прежнему нечасто видим такие сложные разновидности этого типа зловредов и такую необычную технику — запуск 64-битного кода в 32-битном процессе, что усложняет анализ вредоносного кода, а также его обнаружение защитными решениями. Мы ожидаем всплеск числа атак Sodin, поскольку в его создание было, по-видимому, вложено немало ресурсов, а это означает, что его авторы, скорее всего, захотят окупить затраченные усилия», — рассказывает Федор Синицын, старший антивирусный эксперт «Лаборатории Касперского».
Шифровальщик Sodin эксплуатирует опасную уязвимость в Windows
Аналитики «Лаборатории Касперского» обнаружили шифровальщик Sodin, который эксплуатирует уязвимость нулевого дня в Windows для повышения привилегий, а также использует для маскировки архитектурные особенности процессора, что нечасто встречается в малвари такого типа.
xakep.ru