Así actúa Sodin, el nuevo ‘ransomware’ de cifrado que aprovecha una vulnerabilidad de día cero en Windows
Usa la arquitectura de CPU y la técnica Heaven´s Gate para dificultar su detección, algo poco común en este tipo de ‘malware’.
La última amenaza en forma de ransomware capaz de secuestrar equipos y cifrar datos se llama Sodin y está actuando en Asia, principalmente, pero también en Europa y América, solicitando rescates en Bitcoins por valor de 2 500 dólares.
Se trata de una amenaza especialmente peligrosa por su forma de actuar y por el hecho de que explota la vulnerabilidad de día cero CVE-2018-8453 en Windows para escalar privilegios. Este fallo fue reparado por Microsoft a finales de 2018, pero todavía habría equipos que no han sido actualizados a versiones más recientes o que no usan las medidas de protección necesarias.
Otras de las características de Sodin es que aprovecha la arquitectura de CPU para dificultar su detección y que no le hace falta la interacción del usuario para causar estragos, tipo apertura de adjuntos o visitas a enlaces maliciosos, ya que los hackers pueden insertarlo en servidores vulnerables. “El ransomware es un tipo de malware muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores”, comenta al respecto Fedor Sinitsyn, investigador de seguridad de Kaspersky, que es la compañía que ha dado la voz de alarma”.
“Esperamos un aumento en el número de ataques con el cifrador Sodin”, predice Sinitsyn, “ya que la cantidad de recursos que se necesitan para crear este tipo de malware es significativa. Aquellos que invirtieron en el desarrollo del malware definitivamente esperan que les resulte rentable”.
De acuerdo con la investigación realizada por Kaspersky, este malware formaría parte de un esquema de ransomware-as-a-service y se distribuye mediante un programa de afiliados. Los ciberdelincuentes aprovechan la técnica Heaven´s Gate para ejecutar código de 64 bits desde un proceso de 32 bits, algo que también es poco común para un ransomware y que contribuye a evitar su detección.