Sodin é o novo ransomware que explora vulnerabilidade do Windows

Os pesquisadores da Kaspersky descobriram um novo ransomware chamado Sodin, também conhecido como Sodinokibi e REvi, que explora uma vulnerabilidade desconhecida (zero-day) do Windows para obter privilégios de administrador nos sistemas infectados, e ainda aproveita a arquitetura da Unidade Central de Processamento para evitar sua detecção – funcionalidade que não é muito comum em ransomware.

A maioria dos alvos do Sodin foram encontrados na Ásia: 17,6% dos ataques foram detectados em Taiwan, 9,8% em Hong Kong e 8,8% na República da Coreia. No entanto, também foram identificados ataques na Europa, América do Norte e América Latina. Os criminosos responsáveis por este ransomware exigem como resgate a quantia de US$ 2.500 em Bitcoin da vítima.

Geralmente, o ransomware requer alguma forma de interação com o usuário – como abrir um anexo enviado por e-mail ou clicar em um link malicioso. Os invasores que usaram o Sodin não precisavam de tal ajuda, geralmente eles encontravam um servidor vulnerável e enviavam um comando para baixar o arquivo malicioso chamado “radm.exe”, isso bastava para baixar o ransomware e executá-lo, explica a Kaspersky.

De acordo com a análise da ameaça, o que dificulta ainda mais a detecção do Sodin é o uso da técnica “Heaven’s Gate”. Isso permite que um programa mal-intencionado execute código de 64 bits de um processo em execução de 32 bits, o que não é uma prática comum e mais incomum em ransomware.

“Apesar dos ataques de ransomware terem caído 30% nos últimos dois anos, temos observado uma mudança de comportamento: os hackers têm escolhido os seus alvos tendo em conta seu potencial, dando preferência a grandes instituições e empresas que possam pagar o resgate pedido, diminuindo, assim, o volume de ataques contra usuários domésticos. Este foco em organizações tem como objetivo deixá-las sem sistema por bastante tempo, causando prejuízos consideráveis, o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil.

Para evitar ser vítima de ransomware como o Sodin, os especialistas da Kaspersky aconselham as empresas a:

•    Certificarem que todos os softwares usados na empresa sejam atualizados. Produtos de segurança com gerenciamento de vulnerabilidades e de atualizações podem automatizar esses processos. A vulnerabilidade explorada pelo ransomware (CVE-2018-8453) foi corrigida pelo update de outubro do Windows 10.
•    Utilize uma solução de segurança robusta,  equipada com recursos de detecção baseada em comportamento para proteção eficaz contra ameaças conhecidas e desconhecidas, incluindo exploits.

Você também deve ler!

Atualização para Windows corrige 88 vulnerabilidades de segurança

Alerta! Novo malware que infecta caixas eletrônicos pode chegar ao Brasil

Hardware.com.br entrevista: Fabio Assolini, analista sênior de malware da Kaspersky Lab