O ransomware Sodin explora uma vulnerabilidade do Windows (zero-day) e, ao infectar um computador, criptografa os arquivos e pede US$ 250 em bitcoins para a liberação. Infelizmente, ele já foi detectado na América Latina, mesmo com foco em usuários asiáticos, afirma a empresa de segurança Kaspersky.
Segundo pesquisadores da empresa, o ransomware obtém privilégios de administrador assim que infecta um computador com Windows. Além disso, ele aproveita a arquitetura da Unidade Central de Processamento para evitar sua detecção, uma funcionalidade que não é muito comum em ransomware, de acordo com a Kaspersky.
Os invasores que usam o Sodin não precisavam de ajuda de phishing para infectar máquinas
Para entrar em um sistema, cibercriminosos enviam o clássico phishing para enganar a vítima e ela acabar clicando em um link falso para o download do ransomware. Os links falsos costumam chegar via emails ou mensagens falsas em aplicativos de mensagens, por isso é necessário estar sempre atento. Neste caso, do Sodin, é buraco é mais embaixo.
Os invasores que usam o Sodin não precisavam de tal ajuda, geralmente eles encontram um servidor vulnerável e enviam um comando para baixar o arquivo malicioso chamado "radm.exe", isso basta para baixar o ransomware e executá-lo. A Kaspersky ainda afirma que sua detecção é difícil por causa de uma técnica chamada “Heave’s Gate”: ela permite que um programa mal-intencionado execute código de 64 bits de um processo em execução de 32 bits, o que não é uma prática comum e mais incomum em ransomware.
Vulnerabilidades exploradas pelo Sodin:
- CVE-2018-8453
- CVE-2019-2725
- CVE-2019-2729
“Apesar dos ataques de ransomware terem caído 30% nos últimos dois anos, temos observado uma mudança de comportamento: os hackers têm escolhido os seus alvos tendo em conta seu potencial, dando preferência a grandes instituições e empresas que possam pagar o resgate pedido, diminuindo, assim, o volume de ataques contra usuários domésticos. Este foco em organizações tem como objetivo deixá-las sem sistema por bastante tempo, causando prejuízos consideráveis, o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil.
O ransomware Sodin tem a Ásia como alvo e seus ataques se concentram em Taiwan, Hong Kong e República da Coreia. Contudo, a ação maliciosa já foi detectada na América Latina, América do Norte e Europa. A Kaspersky não revelou quais países dessas regiões teriam sido atingidos.
Como não ser infectado por ransomware:
- Certificar que todos os softwares usados na empresa/em casa sejam atualizados. Produtos de segurança com gerenciamento de vulnerabilidades e de atualizações podem automatizar esses processos
- Ficar atento aos links recebidos e ao remetente — não clicar em endereços recebidos de contatos desconhecidos é a máxima.
- Vale notar que é interessante contar com uma ferramenta antivírus em seu smartphone e computador
Categorias