La compañía de ciberseguridad Kaspersky ha descubierto un nuevo 'ransomware' de cifrado llamado Sodin que explota una vulnerabilidad de día cero en Windows para obtener privilegios elevados en un sistema infectado, y que aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar la detección.
El uso de la arquitectura de la CPU es una funcionalidad que no se ve a menudo en un 'ransomware', como asegura Kaspersky en un comunicado. Además, en algunos casos, el 'malware' no requiere la interacción del usuario y los hackers simplemente lo insertan en servidores vulnerables.
El cifrado o bloqueo de datos o dispositivos acompañado de una demanda de dinero, más conocido como 'ransomware', es una ciberamenaza duradera que afecta a individuos y organizaciones.
La mayoría de las soluciones de seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin embargo, enfoques sofisticados como el de Sodin, que implica la explotación de una vulnerabilidad de día cero recientemente descubierta en Windows (CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las sospechas por un tiempo.
El 'malware' parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. Hay indicios de que el 'malware' se está distribuyendo a través de un programa de afiliados.
Así, los desarrolladores del 'malware' han dejado una funcionalidad oculta que les permite descifrar archivos sin que sus afiliados lo sepan: una 'llave maestra' que no requiere una clave del distribuidor para su descifrado (normalmente las claves del distribuidor son las que se utilizan para descifrar los archivos de las víctimas que pagaron el rescate).
Además, normalmente el 'ransomware' requiere alguna forma de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los atacantes que usaron Sodin no necesitaban esa ayuda: normalmente encontraban un servidor vulnerable y enviaban un comando para descargar un archivo malicioso llamado "radm.exe". Esto les permitía guardar el 'ransomware' de forma local y ejecutarlo.
La mayoría de los objetivos del ransomware Sodin se encontraron en Asia: el 17,6 por ciento de los ataques se detectaron en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la República de Corea. Sin embargo, también se han observado ataques en Europa, América del Norte y América Latina.
La nota de rescate que se deja en los equipos infectados requiere un valor en bitcóins de 2.500 dólares estadounidenses por cada víctima.
Sodin hace uso también de la técnica 'Heaven's Gate' para dificultar la detección. Esto permite a un programa malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits, algo que no es una práctica común y que no ocurre a menudo en el 'ransomware'.
"El 'ransomware' es un tipo de 'malware' muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores", ha apuntado el investigador de seguridad de Kaspersky Fedor Sinitsyn.
La vulnerabilidad CVE-2018-8453 que utiliza el 'ransomware' fue detectada anteriormente siendo explotada por un actor de amenazas que los investigadores creen que es el grupo de 'hacking' FruityArmor, y fue reparada el 10 de octubre de 2018.