SOS :: Security Operation Space
22 августа, четверг, 00:00
|
Hot News:

Шифровальщик Sodin оказался знаковым явлением

04 июля 2019 г., четверг, 16:26

Эксперты нашли в коде серию технических особенностей, направленных на противодействие защитным системам.

Эксперты «Лаборатории Касперского» изучили устройство шифровальщика Sodin, также известного под именами Sodinokibi и REvil. Специалисты предупреждают, что в ближайшем будущем этот сложный Windows-зловред может нанести немалый ущерб, так как он использует нестандартную технику уклонения от анализа и обнаружения.

Первые атаки Sodin были замечены в начале 2019 года. Основная часть зафиксированных инцидентов приходится на Азиатско-Тихоокеанский регион, а именно: Тайвань, Гонконг, Южную Корею. Среди самых громких атак последнего времени — июньский взлом нескольких провайдеров IT-услуг, в результате которого оказалась поражена инфраструктура их заказчиков.

Вымогатель требует от своих жертв 2500 долларов в биткойнах. Страны СНГ и Сирию зловред обходит стороной — функция блокировки в его коде срабатывает при обнаружении определенных раскладок клавиатуры на зараженной машине.

По словам аналитиков, Sodin распространяется через уязвимость CVE-2018-8453 в Oracle Weblogic. В отличие от большинства представителей своего класса зловред использует также уязвимость CVE-2018-8453, чтобы повысить свои привилегии на Windows.

Еще одна особенность шифровальщика: чтобы обойти защитные решения, он использует легитимные функции процессора. Применяемая зловредом техника «Небесные врата» (Heaven’s Gate) позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса, что затрудняет анализ и своевременное обнаружение вредоносного кода.

При шифровании Sodin использует симметричный алгоритм Salsa20, что роднит его с такими вымогателями, как GetCrypt и GandCrab. Приватный ключ для разблокировки данных, в свою очередь, шифруется по алгоритму ECIES, который также встречался в атаках SynAck. Обработанные файлы получают произвольное расширение.

Помимо своей основной задачи, Sodin может отправлять операторам информацию о зараженном компьютере. Эта функция включается дополнительно через соответствующую настройку в файле конфигурации. Для защиты передаваемых данных зловред также использует алгоритм ECIES, ключ к которому вшит в его код.

Исследователи полагают, что этот вымогатель специально разработан для распространения по модели Ransomware-as-a-Service. К этому выводу их подтолкнуло обнаружение в коде мастер-ключа, который возвращает в исходный вид любые зашифрованные Sodin данные. По мнению экспертов, это может быть бэкдор, оставленный разработчиком трояна втайне от его распространителей.

«Вымогатели остаются очень распространенной угрозой, — заключает старший антивирусный эксперт «Лаборатории Касперского» Федор Синицын. — Мы ожидаем всплеск числа атак Sodin, поскольку в его создание было, по-видимому, вложено немало ресурсов и авторы, скорее всего, захотят окупить затраченные усилия».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:32
16:15
15:15
14:15
13:30
13:15
12:15
10:15
08:15
07:15
06:15
06:15
15:15
14:15
13:10
12:40
12:15
12:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.320
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.