Sodin è il nuovo ransomware che sfrutta una vulnerabilità di Windows
New York – Tra la sempre più svariata serie di ransomware esistenti ha fatto capolino il Sodin, scoperto dagli analisti oinformatici di Kaspersky Lab e le cui peculiarità stanno nello sfruttamento di una vulnerabilità di Windows (CVE-2018-8453) per elevare i privilegi, una rarità per quanto riguarda i ransomware.
Inoltre, solitamente i ransomware richiedono l’interazione da parte degli utenti per funzionare, mentre Sodin si installa automaticamente nei server vulnerabili. I ricercatori di Kaspersky avrebbero scoperto che il gruppo FruityArmor utilizza la vulnerabilità in un numero limitato di attacchi informatici, principalmente contro vittime localizzate in regioni asiatiche. Ogni campione di Sodin ha un blocco di configurazione crittografato con le impostazioni necessarie per funzionare. Dopo il lancio, controlla il blocco di configurazione per verificare se l’opzione per utilizzare l’exploit è abilitata. A rendere più difficoltosa la rilevazione del malware è l’uso dell’Heaven’s Gate, la tecnica che consente al processo a 32 bit del trojan di eseguire parti di codice a 64 bit. Considerato che molti debugger non supportano questo switch di architettura resta difficile per i ricercatori analizzare il malware. Sodin è progettato come ransomware-as-a-service (RaaS) e si sta quindi propagando tra i server vulnerabili.