Il ransomware sfrutta una vulnerabilità del sistema operativo per ottenere privilegi speciali, e un’architettura della CPU per non essere rilevato

Sodin: il nuovo crypto-ransomware per Windows

Il team di ricerca di Kaspersky ha scoperto Sodin, un nuovo crypto-ransomware che sfrutta una vulnerabilità zero-day di Windows, scoperta di recente, per ottenere privilegi speciali sul sistema infetto e approfittare dell’architettura della CPU per evitare di essere rilevato – funzionalità atipica per i ransomware. Inoltre, in alcuni casi il malware non richiede alcuna interazione da parte dell’utente, viene semplicemente inserito su server vulnerabili dai criminali.

Il ransomware, ovvero la crittografia o il blocco di dati e di dispositivi accompagnati da una richiesta di denaro, rappresenta una minaccia informatica che colpisce individui e organizzazioni di tutte le dimensioni in tutto il mondo. La maggior parte delle soluzioni di sicurezza rileva versioni note e consolidate di vettori d’attacco. Tuttavia, approcci sofisticati come quello di Sodin, che sfrutta una vulnerabilità zero-day scoperta di recente in Windows (CVE-2018-8453) per ottenere privilegi, sono in grado di passare inosservati per qualche tempo.

L’impressione è che questo malware faccia parte di uno schema RAAS (Ransoware As A Service): ciò significa che chi lo diffonde è libero di scegliere in che modo propagare l’encryptor. Alcune evidenze dimostrano che il malware viene distribuito tramite un programma di affiliazione di altri criminali. Una di queste prove, ad esempio, è un meccanismo lasciato dagli sviluppatori del malware all’interno delle sue funzionalità che permette loro di decriptare i file senza che gli affiliati lo scoprano: una “master key” che non richiede alcuna chiave di distribuzione per la decriptazione. Normalmente, le chiavi di distribuzione sono quelle usate per decriptare i file delle vittime che hanno pagato il riscatto. Questa funzionalità potrebbe essere utilizzata dagli sviluppatori per controllare la decrittazione dei dati delle vittime o la distribuzione del ransomware, ad esempio, escludendo alcuni distributori dal programma di affiliazione, rendendo il malware inutile.

Inoltre, di solito, il ransomware richiede una qualche forma di interazione con l’utente, come l’apertura di un allegato o di una email o il click su un link malevolo. I criminali che hanno utilizzato Sodin, invece, non hanno avuto bisogno di questo escamotage poiché si sono limitati a cercare un server vulnerabile al quale inviare un comando per scaricare il file malevolo “radm.exe”. Successivamente, il ransomware veniva salvato localmente ed eseguito.

La maggior parte degli obiettivi del ransomware Sodin sono stati trovati nella regione asiatica: il 17,6% degli attacchi è stato rilevato a Taiwan, il 9,8% a Hong Kong e l’8,8% nella Repubblica di Corea. Diversi attacchi sono stati rilevati anche in Europa, Nord America e America Latina. L’avviso lasciato dal ransomware sui PC infetti richiedeva ad ogni vittima 2500 dollari (USD) di Bitcoin.

Ciò che rende Sodin ancora più difficile da rilevare è l’impiego della tecnica “Heaven’s Gate”. Questa pratica permette a un programma malevolo di eseguire un codice a 64 bit da un processo in esecuzione a 32 bit, il che non è una prassi comune e non accade spesso con i ransomware.

I ricercatori di Kaspersky ritengono che Sodin utilizzi la tecnica Heaven’s Gate per due motivi principali:

  • Rendere più complicata l’analisi del codice malevolo. Infatti, non tutti i “debugger” (esaminatori del codice), supportano questa tecnica e sono in grado di riconoscerla.
  • Eludere il rilevamento da parte delle soluzioni di sicurezza installate. La tecnica è utilizzata per aggirare il rilevamento basato sull’emulazione. Si tratta di un metodo per scoprire minacce precedentmente sconosciute che implicano il lancio del codice che si sta comportando in modo sospetto in un ambiente virtuale che “emula” un computer reale.

“Il ransomware è un tipo di malware molto comune, ma non accade spesso di trovare versioni così elaborate e sofisticate. Utilizzare l’architettura della CPU per evitare di essere trovati è una pratica non comune per gli encryptor. Ci aspettiamo un aumento del numero degli attacchi che coinvolgono l’encryptor Sodin dal momento che la quantità di risorse necessarie per costruire questo malware è significativa. I criminali che hanno investito nello sviluppo del malware erano certi che avrebbero avuto successo”, dichiara Fedor Sinitsyn, Security Researcher di Kaspersky.

Le soluzioni di sicurezza Kaspersky rilevano il ransomware come Trojan-Ransom.Win32.Sodin. La vulnerabilità CVE-2018-8453 sfruttata dal ransomware è stata rilevata in the wild dalla tecnologia Kaspersky ed è stata sfruttata da un gruppo di criminale che i ricercatori hanno identificato come il gruppo di hacking FruityArmor. Per questa vulnerabilità è stata messa a disposizione una patch il 10 Ottobre 2018.

Per evitare di cadere nella trappola di Sodin, gli esperti di sicurezza di Kaspersky consigliano alle aziende di:

  • Assicurarsi che il software usato dall’azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi.
  • Utilizzare una soluzione di sicurezza solida come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento behaviour-based per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.