La compañía de ciberseguridad
Kaspersky ha descubierto un nuevo 'ransomware' de cifrado llamado Sodin que
explota una vulnerabilidad de día cero en Windows para obtener privilegios
elevados en un sistema infectado, y que aprovecha la arquitectura de la Unidad
Central de Procesamiento (CPU) para evitar la detección.
El uso de la arquitectura de la CPU es
una funcionalidad que no se ve a menudo en un 'ransomware', como asegura
Kaspersky en un comunicado. Además, en algunos casos, el 'malware' no requiere
la interacción del usuario y los hackers simplemente lo insertan en servidores
vulnerables.
El cifrado o bloqueo de datos o
dispositivos acompañado de una demanda de dinero, más conocido como
'ransomware', es una ciberamenaza duradera que afecta a individuos y
organizaciones.
La mayoría de las soluciones de
seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin
embargo, enfoques sofisticados como el de Sodin, que implica la explotación de
una vulnerabilidad de día cero recientemente descubierta en Windows
(CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las
sospechas por un tiempo.
El 'malware' parece formar parte de un
esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores
son libres de elegir la forma en la que se propaga el encriptador. Hay indicios
de que el 'malware' se está distribuyendo a través de un programa de afiliados.
Así, los desarrolladores del 'malware'
han dejado una funcionalidad oculta que les permite descifrar archivos sin que
sus afiliados lo sepan: una 'llave maestra' que no requiere una clave del
distribuidor para su descifrado (normalmente las claves del distribuidor son
las que se utilizan para descifrar los archivos de las víctimas que pagaron el
rescate).
Además, normalmente el 'ransomware'
requiere alguna forma de interacción del usuario, como abrir un archivo adjunto
a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los
atacantes que usaron Sodin no necesitaban esa ayuda: normalmente encontraban un
servidor vulnerable y enviaban un comando para descargar un archivo malicioso
llamado "radm.exe". Esto les permitía guardar el 'ransomware' de
forma local y ejecutarlo.
La mayoría de los objetivos del
ransomware Sodin se encontraron en Asia: el 17,6 por ciento de los ataques se
detectaron en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la
República de Corea. Sin embargo, también se han observado ataques en Europa,
América del Norte y América Latina.
La nota de rescate que se deja en los
equipos infectados requiere un valor en bitcóins de 2.500 dólares
estadounidenses por cada víctima.
Sodin hace uso también de la técnica
'Heaven's Gate' para dificultar la detección. Esto permite a un programa
malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits,
algo que no es una práctica común y que no ocurre a menudo en el 'ransomware'.
"El 'ransomware' es un tipo de
'malware' muy popular, pero no es frecuente que veamos una versión tan
elaborada y sofisticada: usar la arquitectura de la CPU para pasar
desapercibido no es una práctica común para los encriptadores", ha
apuntado el investigador de seguridad de Kaspersky Fedor Sinitsyn.
La vulnerabilidad CVE-2018-8453 que
utiliza el 'ransomware' fue detectada anteriormente siendo explotada por un
actor de amenazas que los investigadores creen que es el grupo de 'hacking'
FruityArmor, y fue reparada el 10 de octubre de 2018.
Fuente: Europa Press