Tecnología

Cómo ataca el sofisticado ransomware Sodin que captura la información de tu PC y pide rescate en bitcoins

Cómo ataca el sofisticado ransomware Sodin que captura la información de tu PC y pide rescate en bitcoins

Un nuevo problema de seguridad vuelve a poner en jaque a Windows 10, el último sistema operativo de Microsoft para computadoras. La compañía de ciberseguridad Kaspersky descubrió un ransomware de cifrado llamado Sodin que aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar la detección.

El uso de esta arquitectura es una funcionalidad que no se ve comúnmente en un ransomware, como asegura Kaspersky en un comunicado. Además, en algunos casos, el virus informático (malware) no requiere la interacción del usuario y los hackers simplemente lo insertan en servidores vulnerables.

El cifrado o bloqueo de datos o dispositivos acompañado de una demanda de dinero, más conocido como ransomware, es una ciberamenaza duradera que afecta a individuos y organizaciones.

La mayoría de las soluciones de seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin embargo, enfoques sofisticados como el de Sodin, que implica la explotación de una vulnerabilidad de día cero recientemente descubierta en Windows (CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las sospechas por un tiempo.

Cómo ataca Sodin

El malware parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. 

Así, los desarrolladores del virus informático dejaron una funcionalidad oculta que les permite descifrar archivos sin que sus afiliados lo sepan: una "llave maestra" que no requiere una clave del distribuidor para su descifrado (normalmente las claves del distribuidor son las que se utilizan para descifrar los archivos de las víctimas que pagaron el rescate).

Además, normalmente el ransomware requiere alguna forma de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los atacantes que usaron Sodin no necesitaban esa ayuda: normalmente encontraban un servidor vulnerable y enviaban un comando para descargar un archivo malicioso llamado "radm.exe". Esto les permitía guardar el ransomware de forma local y ejecutarlo.

La mayoría de los objetivos del ransomware Sodin se encontraron en Asia: el 17,6 por ciento de los ataques se detectaron en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la República de Corea. Sin embargo, también se observaron ataques en Europa, América del Norte y América Latina.

La nota de rescate que se deja en los equipos infectados requiere un valor en bitcóins de 2.500 dólares por cada víctima.

Sodin hace uso también de la técnica "Heaven's Gate" para dificultar la detección. Esto permite a un programa malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits, algo que no es una práctica común y que no ocurre a menudo.

"El ransomware es un tipo de malware muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores", sostuvo el investigador de seguridad de Kaspersky Fedor Sinitsyn.

La vulnerabilidad CVE-2018-8453 que utiliza el ransomware fue detectada anteriormente siendo explotada por un actor de amenazas que los investigadores creen que es el grupo de 'hacking' FruityArmor, y fue reparada el 10 de octubre de 2018.

Fuente: Portaltic