El Sodinokibi Ransomware (también conocido como Sodin o REvil) fue descubierto en abril de este año; en un principio explotando una vulnerabilidad de Oracle WebLogic Server, la cual fue recientemente parcheada.
Ahora, se ha detectado que la amenaza está evolucionando, El ransomware Sodin incluye una nueva implementación de su código que puede elevar privilegios en una máquina de destino mediante la explotación de una vulnerabilidad en el componente de Win32k presente en Windows 7 hasta Windows 10, incluyendo Windows Server.
Kaspersky reveló en Octubre, que la vulnerabilidad CVE-2018-8453 ha sido explotada por el grupo APT FruityArmor, un grupo de ciberespionaje que se observó por primera vez en 2016 que tiene por objetivo a activistas, investigadores e individuos relacionados con organizaciones gubernamentales.
Continuando con la investigación, se menciona que Sodin se está propagando en todo el mundo y que la mayoría de las infecciones se observaron en la región de Asia y el Pacífico: Taiwán (17.56%), Hong Kong y Corea del Sur (8.78%). Y también ha sido visto en otros países como Japón (8,05%), Alemania (8,05%), Italia (5,12%), España (4,88%), Vietnam (2,93), Estados Unidos (2,44%) y Malasia (2,20%).
Los investigadores publicaron un análisis técnico del nuevo vector de ataque, que permite a la amenaza ganar privilegios de Sistema. Para escalar privilegios, Sodin aprovecha la vulnerabilidad en win32k.sys (kernel del subsistema de archivos de Windows), luego ejecuta dos opciones de código shell contenidas en el cuerpo del troyano de acuerdo a la arquitectura del procesador de la víctima.
Dentro de la configuración de Sodin, se incluyen campos de una clave pública, ID’s para las campañas y el distribuidor; para comprometer los datos, contiene nombres de directorios y archivos, una lista de extensiones que no son encriptadas, nombres de los procesos que serán detenidos, las direcciones del servidor de comando y control (C2), la plantilla de la nota de rescate y el exploit para obtener privilegios elevados.
La muestra de Sodin analizada por Kaspersky implementa un esquema híbrido para cifrar datos, y utiliza un algoritmo simétrico (específicamente, Salsa20) para cifrar los archivos y para proteger las claves, un cifrado asimétrico de curva elíptica.
La clave privada también se cifra con una segunda clave pública, que está presente en el código del malware y el resultado se guarda en el registro de Windows. Una vez cifrados los archivos, el ransomware agrega una extensión aleatoria que es diferente para cada computadora que infecta.
REFERENCIA
COMENTARIOS