Egy új, szokatlan zsarolóvírus a Windows veszélyes sérülékenységét használja ki

Új titkosító zsarolóvírust azonosítottak a Kaspersky szakemberei. A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nem gyakran látni a zsarolóvírusoknál. Sőt, bizonyos esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken.

A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása egy tartós kiberfenyegetés, amely a magánszemélyeket és a különféle méretű szervezeteket egyaránt érinti világszerte. A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek azonban – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét (CVE-2018-8453) kiaknázva jogosultságokat eszkaláló Sodin által alkalmazott eljárás – képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik. A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól). E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek – például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.
A Sodin zsarolóvírus legtöbb célpontja az ázsiai térségben volt: a támadások 17,6%-át Tajvanon, 9,8%-át Hongkongban, 8,8%-át pedig a Koreai Köztársaságban észlelték. Azonban Európában, Észak-Amerikában és Latin-Amerikában is figyeltek meg támadásokat. A fertőzött számítógépeken hagyott zsarolóvírus-üzenetben 2500 USD értékű Bitcoint követelnek minden áldozattól.

Ami még nehezebbé teszi a Sodin felfedezését, az az úgynevezett „mennyország kapuja” technika alkalmazása. Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A szakemberek véleménye szerint a Sodinnál az alábbi két fő ok miatt alkalmazzák a mennyország kapuja technikát:
Hogy megnehezítsék a rosszindulatú kód elemzését: nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel.

Hogy elkerüljék a kód telepített biztonsági megoldások általi észlelését. Ezzel a technikával megkerülhető az emuláció-alapú észlelés, vagyis a korábban ismeretlen fenyegetések feltárására használt módszer, amelynek lényege egy gyanúsan viselkedő kód elindítása egy valódi számítógépet utánzó (emuláló) virtuális környezetben.
„Bár a zsarolóvírus a rosszindulatú programok igen népszerű típusa, mégsem gyakori, hogy ilyen kidolgozott és kifinomult verzióval találkozzunk: nem általános gyakorlat, hogy a titkosító vírusok a CPU-architecktúrát kihasználva észrevétlenek maradnak. A Sodin titkosító vírust használó támadások számában véleményünk szerint növekedés várható, mivel egy ilyen típusú rosszindulatú program létrehozásához jelentős mennyiségű erőforrás szükséges. Ezért azok, akik befektettek a program fejlesztésébe, nyilvánvalóan azt várják, hogy befektetésük busásan megtérüljön.” – mondta Fjodor Szinicin, a Kaspersky biztonsági kutatója.
A Kaspersky biztonsági megoldásai Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. A zsarolóvírus által kihasznált CVE-2018-8453 sérülékenységet korábban a Kaspersky technológiája észlelte élesben, egy támadó általi használat közben, akiről a kutatók úgy gondolják, hogy a FruityArmor hekkercsoport lehetett. A sérülékenységet 2018. október 10-én javították ki.

A Kaspersky szakembereinek ajánlásai szerint a vállalatok a következőképpen kerülhetik el, hogy áldozatul essenek a Sodin jelentette fenyegetésnek:
Gondoskodjanak a vállalatnál használt szoftverek rendszeres, legfrissebb verziókra történő frissítéséről. A sérülékenység-felmérő és javításkezelő funkciókkal rendelkező biztonsági termékek segíthetnek ezen folyamatok automatizálásában.

Használjanak hatékony biztonsági megoldást, például a Kaspersky Endpoint Security for Business szoftvert, amely viselkedésalapú észlelési funkciókkal rendelkezik, így hatékony védelmet biztosít az ismert és ismeretlen fenyegetések, többek között az exploitok ellen is.