A Sodin egyedi módon rejti el magát a védelmek elől, és a terjesztése is különleges.

Azonosított egy új zsarolóvírust a Kaspersky Lab. A Sodin névre keresztelt ransomware egy tavaly ősszel felfedezett – és javított – nulladik napi Windows-sérülékenységet  (CVE-2018-8453) kihasználva képes magas szintű jogosultságot szerezni a megfertőzött rendszerben. A ransomware-knél ritkán alkalmazott módszerrel, a központi feldolgozó egység architektúráját kihasználva rejti el magát a védelmek elől – írja a kiberbiztonsági cég. Az teszi különösen veszélyessé, hogy bizonyos esetekben felhasználói interakció nélkül képes fertőzni.

A zsarolóvírus 2500 dollárnyi bitcoint követel áldozataitól.

Egy jól szervezett RaaS szolgáltatás is van mögötte

A kutatók arra jutottak, hogy rosszindulatú program ún. RaaS (Ransomware as a Service) szolgáltatás része, ami nagy szabadságot ad a terjesztésben. A kódban több jel utal arra, hogy a terjesztést egy partnerprogramon keresztül valósítják meg. Ilyen jellemző például, hogy van egy olyan kiskapu a ransomware működésében, amelynek segítségével a terjesztő partner tudta nélkül dekódolhatók a fájlok. Ez egy olyan "mesterkulcs", amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a bűnözők fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat fizető áldozatok fájljairól).

Ez a funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett. Például használhatatlanná teszik a rosszindulatú programot, így az adott terjesztőt ki tudják zárni a partnerprogramból.

A Sodin abban is egyedi utat jár, hogy a támadott rendszert a felhasználó aktív közreműködése nélkül is meg tudja fertőzni. Az eddigi támadások többségénél a kiberbűnözők kerestek egy sérülékeny szervert, és parancsot küldtek a radm.exe elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust. (A zsarolóvírusok többsége akkor aktiválódik, ha a felhasználó megnyit egy levélben kapott preparált csatolmányt, vagy rákattint egy rosszindulatú hivatkozásra.)

Mennyország kapuja

A Sodin azonosítása azért is nehéz, mert alkalmazza az úgynevezett "mennyország kapuja" (Heaven's Gate) technikát. A 2000-es évek közepétől alkalmazott technikának az a lényege, hogy a 64 bites rendszeren lehet futtatni 32 bites futási folyamatban 64 bites kódot is, amit a rendszer 32 bitesként azonosít. Itt is ez történik, a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, amivel hatékonyabban képes elrejteni magát.

A felismerését az nehezíti, hogy nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel, hogy kártevő kód indult el. De a telepített biztonsági megoldások is kicselezhetők ezzel a módszerrel. Megkerülhetővé teszi ugyanis az emuláció alapú észlelést, vagyis a korábban ismeretlen fenyegetések feltárására használt módszert (ilyenkor a védelmi megoldás egy valódi számítógépet utánzó, azaz emuláló virtuális környezetben indítja el a gyanúsan viselkedő kódot, hogy megfigyelje a viselkedését).

A Kaspersky Lab szerint ritka az ennyire kidolgozott és kifinomult zsarolóvírus. Kifejlesztéséhez valószínűleg jelentős mennyiségű erőforrás kellett, ezért a kutatók a Sodinnal végrehajtott támadások gyakoribbá válásával számolnak.

A Kaspersky védelmi rendszerei Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. Az eddigi támadások többségét Ázsiában észlelték, főleg Tajvanon (ott történt a regisztrált támadások közel 18 százaléka), Hongkongban (10 százalék) és Dél-Koreában (9 százalék). A terjedésre utal, hogy már Európában, Észak-Amerikában és Latin-Amerikában is azonosították a károkozót.

Biztonság

Fél Ausztráliát letölthették egy hekkertámadásban

A kontinensnyi ország második legnagyobb telkójánál történt súlyos incidens. A vizsgálatok még tartanak, de akár 10 millió ügyfél személyes adata is illetéktelen kezekbe kerülhetett.
 
Hirdetés

Budapestre jön és munkatársakat keres az Innovecs

A cégek digitális transzformációját segítő, szédítő tempóban növekvő vállalatnál kiemelt figyelmet fordítanak a csapattagok igényeire és jólétére.

Hirdetés

A munkaerő képzése a vállalat sikerének egyik záloga

A piaci versenyben az a cég tud élen maradni, amely lépést tart a fejlődő technológiával. Ez azonban csak megfelelően képzett alkalmazottakkal lehetséges.

Ahogy megindult az IT-szakemberekért a harc a munkaerőpiacon, úgy váltak egyre szofisztikáltabbá a képzést végző intézmények szolgáltatásai.

a melléklet támogatója a Green Fox Academy

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.