Sodin è un nuovo crypto-ransomware che sfrutta una vulnerabilità zero day di Windows, scoperta di recente e identificata come CVE-2018-8453, per ottenere privilegi speciali all’interno di un sistema infetto (cosa rara tra i ransomware). In questo modo, il ransomware riesce a criptare qualsiasi file presente nel sistema per poi richiedere un riscatto di 2.500 dollari americani in Bitcoin.
Sodin è poi in grado di approfittare dell’architettura hardware e delle legittime funzioni del processore per aggirare le soluzioni di sicurezza ed evitare di essere rilevato. Una caratteristica, anche questa, che non si riscontra spesso nei ransomware.
In una precedente variante isolata lo scorso mese di aprile e già identificata come Sodinokibi e REvil, il ransomware era inoltre capace di sfruttare anche una vulnerabilità presente nel modulo Weblogic di Oracle per attaccare i provider MSP (Managed Service Provider).
Indice degli argomenti
Sodin: i dettagli tecnici del ransomware
Di solito, i ransomware richiedono una qualche forma di interazione con l’utente, come l’apertura di un allegato infetto inviato mediante campagne di phishing o il clic su un link malevolo.
I criminal hacker ideatori di Sodin, invece, non hanno avuto bisogno di ricorrere a questo escamotage poiché si sono limitati a cercare un server vulnerabile al quale inviare un comando utile a consentire il download del file malevolo radm.exe. Successivamente, il ransomware è stato salvato localmente ed eseguito.
Ciò che rende Sodin difficile da rilevare è l’impiego della tecnica “Heaven’s Gate”. Questa pratica permette a un programma malevolo di eseguire un codice a 64 bit abbinato ad un processo in esecuzione a 32 bit.
I ricercatori Kaspersky ritengono che Sodin utilizzi la tecnica Heaven’s Gate per due motivi principali:
- rendere più complicata l’analisi del codice malevolo. Infatti, non tutti i “debugger” (esaminatori del codice), supportano questa tecnica e sono in grado di riconoscerla;
- eludere il rilevamento da parte delle soluzioni di sicurezza installate. La tecnica è utilizzata per aggirare il rilevamento basato sull’emulazione. Si tratta di un metodo per scoprire minacce precedentemente sconosciute che implicano il lancio del codice che si sta comportando in modo sospetto in un ambiente virtuale che “emula” un computer reale.
Dall’analisi del ransomware, inoltre, si è scoperto che ogni campione di Sodin integra anche un file di configurazione criptato contenente tutte le impostazioni e i dati necessari al suo funzionamento tra cui la chiave pubblica, le estensioni di file che non devono essere criptate, i nomi dei processi che devono essere uccisi, gli indirizzi dei server di comando e controllo (C&C) e la nota di riscatto.
Un’altra particolarità di Sodin consiste nell’utilizzare una doppia tecnica crittografica: la prima è basata sull’algoritmo Salsa20 e serve al ransomware per codificare i file delle vittime; la seconda, invece, è basata su un algoritmo a curva ellittica e viene utilizzata per criptare le chiavi di codifica.
I consigli degli esperti per proteggersi
La struttura tecnica della catena infettiva e le particolari funzionalità di Sodin suggeriscono che il malware fa parte di uno schema RAAS (Ransoware As A Service): ciò significa che chi lo diffonde è libero di scegliere in che modo propagare l’encryptor.
Alcune evidenze, ad esempio, dimostrano che il malware viene distribuito tramite un programma di affiliazione di altri criminali. Una di queste prove è un meccanismo lasciato dagli sviluppatori del malware all’interno delle sue funzionalità che permette loro di decriptare i file senza che gli affiliati lo scoprano: una “master key” che non richiede alcuna chiave di distribuzione per la decriptazione.
Normalmente, le chiavi di distribuzione sono quelle usate per decriptare i file delle vittime che hanno pagato il riscatto. Questa funzionalità potrebbe essere utilizzata dagli sviluppatori per controllare la decrittazione dei dati delle vittime o la distribuzione del ransomware, ad esempio, escludendo alcuni distributori dal programma di affiliazione, rendendo il malware inutile.
Finora gli obiettivi del ransomware Sodin sono stati concentrati soprattutto nella regione asiatica: il 17,6% degli attacchi è stato rilevato a Taiwan, il 9,8% a Hong Kong e l’8,8% nella Repubblica di Corea. Negli ultimi giorni, però, si iniziano ad avere evidenze di diversi attacchi rilevati anche in Europa (l’8,05% in Germania, il 5,12% in Italia e il 4,88% in Spagna), Nord America e America Latina.
“Il ransomware è un tipo di malware molto comune, ma non accade spesso di trovare versioni così elaborate e sofisticate. Utilizzare l’architettura della CPU per evitare di essere identificati è una pratica non comune per gli encryptor. Ci aspettiamo un aumento del numero degli attacchi che coinvolgono l’encryptor Sodin dal momento che la quantità di risorse necessarie per costruire questo malware è significativa. I criminali che hanno investito nello sviluppo del malware erano certi che avrebbero avuto successo”, ha dichiarato Fedor Sinitsyn, Security Researcher di Kaspersky.
Per evitare di cadere nella trappola di Sodin, le aziende dovrebbero innanzitutto aggiornare i propri server Windows installando la patch per la vulnerabilità CVE-2018-8453 già rilasciata da Microsoft lo scorso 10 ottobre 2018.
Un aggiornamento molto importante non solo perché mette al riparo dal ransomware Sodin, ma anche perché se un eventuale aggressore riuscisse a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel nel sistema infetto e riuscire poi ad installare programmi, visualizzare, modificare o cancellare dati, oppure creare nuovi account con pieni diritti di accesso alla macchina.
È quindi utile immunizzarsi dal ransomware Sodin mettendo in pratica queste semplici soluzioni di sicurezza:
- assicuriamoci che il software usato dall’azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi;
- utilizziamo soluzioni di sicurezza solide dotate di funzionalità di rilevamento comportamentale (behaviour-based) per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.
