Sodin ransomware explota el antiguo día cero de Windows para elevar sus privilegios en los hosts infectados



Descubrieron recientemente que el ransomware Sodin (también conocido como Sodinokibi y REvil) está utilizando una vulnerabilidad de escalamiento de privilegios de Windows SB2018100920 (CVE-2018-8453) para obtener el nivel más alto de privilegios en los sistemas infectados, lo cual es bastante inusual para un ransomware.

La vulnerabilidad en cuestión anteriormente había sido utilizada por un grupo de piratería patrocinado por el estado y rastreado por investigadores como FruityArmor desde agosto de 2018. Microsoft corrigió el error en las actualizaciones de seguridad del martes de octubre de 2018.

Según los investigadores de Kaspersky Lab que han estado monitoreando la actividad de Sodin ransomware desde que se detectó por primera vez en abril de 2019, se observaron ataques en Europa, América del Norte y América Latina, aunque la mayoría de las víctimas se encontraban en la región de Asia y el Pacífico: Taiwán , Hong Kong y Corea del Sur. La nota de ransomware que se dejó en las PC infectadas exigió $ 2500 (USD) de Bitcoin a cada víctima.

En un análisis técnico detallado , Kaspersky explicó cómo funciona el malware. Cada muestra de Sodin tiene un bloque de configuración que contiene la configuración y los datos necesarios para que funcione. Después del lanzamiento, comprueba el bloque de configuración para verificar si la opción de uso del exploit está habilitada y, si lo está, Sodin verifica la arquitectura de la CPU en la que se está ejecutando y pasa la ejecución a una de las dos variantes de shellcode contenida dentro del cuerpo del troyano. .

“Sodin usa un esquema híbrido para cifrar los archivos de la víctima. El contenido del archivo está cifrado con el algoritmo de flujo simétrico Salsa20, y las claves para él con un algoritmo asimétrico de curva elíptica, ”lee el análisis.

Uno de los hallazgos más interesantes fue el descubrimiento de la llamada "clave pública de esqueleto" en el cuerpo del troyano que sirvió como una puerta trasera que permite a los autores de Sodin descifrar archivos a espalda de los distribuidores. Este hallazgo sugiere que el ransomware se distribuye a través de un modelo de negocio de ransomware-as-a-service (RaaS) en lugar de ser entregado directamente por los creadores del malware.

Otra cosa que separa al ransomware de Sodin de otras familias de ransomware además del exploit de Windows es el uso de la antigua técnica Heaven's Gate para eludir soluciones de seguridad como firewalls y programas antivirus. Heaven's Gate permite que el proceso de 32 bits del troyano ejecute partes de código de 64 bits. Muchos depuradores no admiten esta técnica y eso dificulta que los investigadores analicen el malware.