El cifrado o bloqueo de datos o dispositivos acompañado de una demanda de dinero, más conocido como ransomware, es una ciberamenaza duradera que afecta a individuos y organizaciones, independientemente de su tamaño, en todo el mundo. La mayoría de las soluciones de seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin embargo, enfoques sofisticados como el de Sodin, que implica la explotación de una vulnerabilidad de día cero recientemente descubierta en Windows (CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las sospechas por un tiempo.
El malware parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. Hay indicios de que el malware se está distribuyendo a través de un programa de afiliados. Así, los desarrolladores del malware han dejado una funcionalidad oculta que les permite descifrar archivos sin que sus afiliados lo sepan: una “llave maestra” que no requiere una clave del distribuidor para su descifrado (normalmente las claves del distribuidor son las que se utilizan para descifrar los archivos de las víctimas que pagaron el rescate). Los desarrolladores pueden utilizar esta función para controlar el descifrado de los datos de las víctimas o la distribución del ransomware, por ejemplo, al eliminar a ciertos distribuidores del programa de afiliados, haciendo que el malware sea inútil.
Además, normalmente el ransomware requiere alguna forma de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los atacantes que usaron Sodin no necesitaban esa ayuda: normalmente encontraban un servidor vulnerable y enviaban un comando para descargar un archivo malicioso llamado “radm.exe”. Esto les permitía guardar el ransomware de forma local y ejecutarlo.
La mayoría de los objetivos del ransomware Sodin se encontraron en Asia: el 17,6% de los ataques se detectaron en Taiwán, el 9,8% en Hong Kong, y el 8,8% en la República de Corea. Sin embargo, también se han observado ataques en Europa, América del Norte y América Latina. La nota de rescate que se deja en los equipos infectados requiere un valor en Bitcoins de 2.500 $ (USD) por cada víctima.
Lo que hace que Sodin sea aún más difícil de detectar es el uso de la técnica de “Heaven´s Gate”. Esto permite a un programa malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits, algo que no es una práctica común y que no ocurre a menudo en el ransomware.
Los investigadores creen que Sodin utiliza la técnica “Heaven´s Gate” por dos razones principales:
- Dificultar el análisis del código malicioso – no todos los “depuradores” soportan esta técnica y, por lo tanto, no pueden reconocerla.
- Evitar la detección mediante soluciones de seguridad. La técnica se utiliza para eludir la detección basada en la emulación, un método para descubrir amenazas previamente desconocidas que implica la ejecución de código sospechoso en un entorno virtual que emula a un ordenador real.
“El ransomware es un tipo de malware muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores. Esperamos un aumento en el número de ataques con el cifrador Sodin, ya que la cantidad de recursos que se necesitan para crear este tipo de malware es significativa. Aquellos que invirtieron en el desarrollo del malware definitivamente esperan que les resulte rentable”, apunta Fedor Sinitsyn, investigador de seguridad de Kaspersky.
Las soluciones de seguridad de Kaspersky detectan el software de rescate como Trojan-Ransom.Win32.Sodin. La vulnerabilidad CVE-2018-8453 que utiliza el ransomware fue detectada anteriormente por la tecnología de Kaspersky en estado salvaje siendo explotada por un actor de amenazas que los investigadores creen que es el grupo de hacking FruityArmor. La vulnerabilidad fue reparada el 10 de octubre de 2018.
Para evitar ser víctima de las amenazas de Sodin, Kaspersky aconseja
- Asegúrese de que el software utilizado en su empresa se actualiza regularmente a las versiones más recientes. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
- Utilice una solución de seguridad robusta como Kaspersky Endpoint Security for Business, que está equipada con capacidades de detección basadas en el comportamiento para una protección eficaz contra amenazas conocidas y desconocidas, incluidos los ataques.