Azonosított egy új zsarolóvírust a Kaspersky Lab. A Sodin névre keresztelt ransomware egy tavaly ősszel felfedezett – és javított – nulladik napi Windows-sérülékenységet  (CVE-2018-8453) kihasználva képes magas szintű jogosultságot szerezni a megfertőzött rendszerben. A ransomware-knél ritkán alkalmazott módszerrel, a központi feldolgozó egység architektúráját kihasználva rejti el magát a védelmek elől – írja a kiberbiztonsági cég. Az teszi különösen veszélyessé, hogy bizonyos esetekben felhasználói interakció nélkül képes fertőzni.

A zsarolóvírus 2500 dollárnyi bitcoint követel áldozataitól.

Egy jól szervezett RaaS szolgáltatás is van mögötte

A kutatók arra jutottak, hogy rosszindulatú program ún. RaaS (Ransomware as a Service) szolgáltatás része, ami nagy szabadságot ad a terjesztésben. A kódban több jel utal arra, hogy a terjesztést egy partnerprogramon keresztül valósítják meg. Ilyen jellemző például, hogy van egy olyan kiskapu a ransomware működésében, amelynek segítségével a terjesztő partner tudta nélkül dekódolhatók a fájlok. Ez egy olyan "mesterkulcs", amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a bűnözők fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat fizető áldozatok fájljairól).

Ez a funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett. Például használhatatlanná teszik a rosszindulatú programot, így az adott terjesztőt ki tudják zárni a partnerprogramból.

A Sodin abban is egyedi utat jár, hogy a támadott rendszert a felhasználó aktív közreműködése nélkül is meg tudja fertőzni. Az eddigi támadások többségénél a kiberbűnözők kerestek egy sérülékeny szervert, és parancsot küldtek a radm.exe elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust. (A zsarolóvírusok többsége akkor aktiválódik, ha a felhasználó megnyit egy levélben kapott preparált csatolmányt, vagy rákattint egy rosszindulatú hivatkozásra.)

Mennyország kapuja

A Sodin azonosítása azért is nehéz, mert alkalmazza az úgynevezett "mennyország kapuja" (Heaven's Gate) technikát. A 2000-es évek közepétől alkalmazott technikának az a lényege, hogy a 64 bites rendszeren lehet futtatni 32 bites futási folyamatban 64 bites kódot is, amit a rendszer 32 bitesként azonosít. Itt is ez történik, a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, amivel hatékonyabban képes elrejteni magát.

A felismerését az nehezíti, hogy nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel, hogy kártevő kód indult el. De a telepített biztonsági megoldások is kicselezhetők ezzel a módszerrel. Megkerülhetővé teszi ugyanis az emuláció alapú észlelést, vagyis a korábban ismeretlen fenyegetések feltárására használt módszert (ilyenkor a védelmi megoldás egy valódi számítógépet utánzó, azaz emuláló virtuális környezetben indítja el a gyanúsan viselkedő kódot, hogy megfigyelje a viselkedését).

A Kaspersky Lab szerint ritka az ennyire kidolgozott és kifinomult zsarolóvírus. Kifejlesztéséhez valószínűleg jelentős mennyiségű erőforrás kellett, ezért a kutatók a Sodinnal végrehajtott támadások gyakoribbá válásával számolnak.

A Kaspersky védelmi rendszerei Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. Az eddigi támadások többségét Ázsiában észlelték, főleg Tajvanon (ott történt a regisztrált támadások közel 18 százaléka), Hongkongban (10 százalék) és Dél-Koreában (9 százalék). A terjedésre utal, hogy már Európában, Észak-Amerikában és Latin-Amerikában is azonosították a károkozót.