PERSBERICHT AANLEVEREN
Volg ons op twitter
2480 volgers blijven op de hoogte!
ICT BEDRIJVEN
ICT PR-BUREAUS
ZOEKEN
Inloggen
Datum:
dinsdag 6 aug 2019 14:53
(168 dagen geleden)
Bedrijf:
Kaspersky
Nieuwe ransomware Sodin profiteert van Windows-lek
Kaspersky-onderzoekers waarschuwen bedrijven voor Sodin. Dat is nieuwe encryptie-ransomware die gebruikmaakt van een recent ontdekt
zero-day-lek in Windows
. Daarmee worden meer toegangsrechten verkregen voor geïnfecteerde systemen. Om detectie te voorkomen, maakt Sodin gebruik van de CPU-architectuur. Dat is volgens Kaspersky heel opmerkelijk omdat dit niet vaak voorkomt bij ransomware. Bovendien blijkt dat de malware ook zonder gebruikersinteractie kan landen op kwetsbare servers. Een aantal Europese bedrijven zijn inmiddels slachtoffer geworden van Sodin waarbij ze een ‘losgeldbrief’ ontvingen voor betaling van $2500 in bitcoins.
Deze nieuwe zogeheten Sodin malware lijkt onderdeel te zijn van een RAAS-scenario (ransomware-as-a-service). Dat betekent dat distributeurs vrijelijk kunnen kiezen op welke manier de encryptor zich verspreidt. Er zijn aanwijzingen dat de malware wordt verspreid via online verkoop van partnerprogramma’s. De ontwikkelaars hebben bijvoorbeeld een maas in de functionaliteit van de malware achtergelaten. Daarmee kunnen ze bestanden decoderen zonder dat het slachtoffer daar achter komt. Een ‘masterkey’ zorgt ervoor, dat er geen distributeurssleutel nodig is voor decodering. Normaal gesproken worden de bestanden van slachtoffers die hebben betaald gedecodeerd met zo’n distributiesleutel. Ontwikkelaars kunnen deze functie gebruiken om decryptie van data of de distributie van de ransomware te regelen. Bijvoorbeeld door bepaalde distributeurs uit het aangesloten programma te verwijderen en zo de malware onbruikbaar te maken.
Doorgaans vereist ransomware enige vorm van gebruikersinteractie zoals het openen van een bijlage bij een e-mailbericht of het aanklikken van een kwaadaardige link. Wat opvalt, is dat de Sodin-aanvallers dat niet nodig hebben. In de meeste gevallen hebben ze kwetsbare servers gevonden en sturen ze een commando om een kwaadaardig bestand met de naam "radm.exe" te downloaden. Via dit commando wordt de ransomware vervolgens op een lokale computer opgeslagen en uitgevoerd.
Detectie van Sodin wordt nog moeilijker omdat ook de ‘Heaven’s Gate’ techniek wordt toegepast. Daarmee kan een kwaadaardig programma 64-bits code uitvoeren vanuit een 32-bits actief proces. Dat is niet gebruikelijk en komt bijna nooit voor in ransomware. Kaspersky-onderzoekers vermoeden dat de Heaven's Gate-techniek om twee redenen wordt ingezet:
Om de analyse van de kwaadaardige code moeilijker te maken. Niet alle ‘debuggers’ (code-onderzoekprogramma’s) zijn bekend met deze techniek en herkennen hem derhalve niet.
Om detectie door geïnstalleerde beveiligingsoplossingen te ontwijken. De techniek wordt gebruikt om emulatie-gebaseerde detectie te omzeilen. Dat is een methode die bedoeld is voor het ontdekken van nog onbekende dreigingen waarbij code wordt gestart die verdacht gedrag vertoont in een virtuele omgeving waarbij een echte computer wordt nagebootst.
“Ransomware is inmiddels een zeer populaire vorm van malware. Echter, zo´n uitgebreide en verfijnde variant als Sodin komen we niet vaak tegen”, zegt Jornt van der Wiel, security-expert bij Kaspersky. “De CPU-architectuur gebruiken om onder de radar te blijven, is geen gangbare praktijk voor encryptors. Er komt bovendien heel wat bij kijken om dergelijke malware te bouwen. Daarmee is het waarschijnlijk dat aanvallen met Sodin-encryptie toe gaan nemen. De ontwikkelaars willen natuurlijk hun investeringen terugverdienen”.
De meeste doelwitten van Sodin-ransomware zijn aangetroffen in de Aziatische regio: 17,6 procent van de aanvallen is gedetecteerd in Taiwan, 9,8 procent in Hong Kong en 8,8 procent in de Republiek Korea. Er zijn ook aanvallen waargenomen in Europa, Noord-Amerika en Latijns-Amerika. De ‘losgeldbrief’ die wordt achtergelaten op geïnfecteerde pc's eist van elk slachtoffer $ 2.500 (USD) in bitcoins.
Lees meer informatie in het volledige rapport op
Securelist.com
.
Tags
Malware x 99
Ransomware x 75
Encryptie x 24
Zero-day x 16
Sodin x 1
RAAS (ransomware-as-a-service) x 1
Gerelateerde berichten
Check Point waarschuwt voor spam over klimaatactiviste Greta Thunberg met Emotet-malware
Check Point: Mobiele malware voor eerst in drie jaar in top meest actieve cyberdreigingen
Ontdekte Zero-day kwetsbaarheid in Windows OS al gebruikt in gerichte aanval
Een op de drie Nederlandse werknemers niet op de hoogte van AVG-beleid
Fortinet’s voorspellingen voor 2020: beveiliging draait om artificial intelligence en contraspionage
Onderzoek Fortinet: Cybercriminelen maken vaker gebruik van Ransomware-as-a-Service (RaaS)-oplossing
Financiële schade van downtime door ransomware meer dan 200 procent gestegen
Identify3D zet diensten Gemalto in voor databescherming van klanten
Laatste van Kaspersky
20 jan 2020
Kaspersky optimaliseert licentiemanagement met nieuwe License Management Portal voor MSP’s en resellers
17 jan 2020
Voor niets gaat de zon op: scammers maken gebruik van nieuwe truc met 'datalekvergoeding'
9 jan 2020
Nieuwe aanpassingen Lazarus maken AppleJeus-aanval op cryptovaluta gevaarlijker dan ooit
Gepubliceerd op maandag 20 januari 2020
BTG introduceert TGG/BTG ICT Development index; 40 procent organisaties gaat komend jaar aanzienlijk meer investeren in ICT
Belcentrale op de Horecava 2020
Puur Data haalt ISO 27001-certificaat voor informatiebeveiliging
Consument bereid 7 euro meer te betalen voor duurzame pakketbezorging
Extreme Networks vereenvoudigt retailnetwerken met cloudtechnologiepakketten die kosten en complexiteit elimineren
KPN in 2019 opnieuw wereldklimaatleider
Print2Pack transformeert verpakkingsproductieproces met Xerox
Rabo Frontier Ventures investeert in eerste Britse online hypotheekmakelaar Trussle
Wie wordt de Mobiliteitsmanager van het jaar 2020?
Mimecast waarschuwt voor sextortion via e-mail
Kaspersky optimaliseert licentiemanagement met nieuwe License Management Portal voor MSP’s en resellers
Check Point waarschuwt voor spam over klimaatactiviste Greta Thunberg met Emotet-malware
Een jaar lang water voor Oost-Knollendam dankzij refurbished Apple-producten
17 januari 2020 (4 dagen geleden)
Succesvolle samenwerking Company.info en INFORMA Europe
Winnaars Dutch IT-channel Awards 2019 bekend
Helft Nederlanders heeft vertrouwen in computers die beslissingen voor hen nemen
Voor niets gaat de zon op: scammers maken gebruik van nieuwe truc met 'datalekvergoeding'
Oudere berichten per week
Geplaatst:
dinsdag 6 aug 2019 14:53
Verstreken tijd: 168 dagen
Kaspersky contact
030 752 95 00
info@kaspersky.nl
www.kaspersky.nl
Kaspersky sociaal
Kaspersky tweets
Spotlight
BTG introduceert TGG/BTG ICT Development index; 40 procent organisaties gaat komend jaar aanzienlijk meer investeren in ICT
Succesvolle samenwerking Company.info en INFORMA Europe
Overname Glasvezelnetwerk Het Grootslag door AOA Glasvezel
Copernicus trotse bijdrager aan revolutionair proefbevolkingsonderzoek de NierCheck
TransIP is snelst geteste Wordpress Hosting 2020
Thales kiest Marcommit voor strategische PR en vergroten autoriteitspositie
NEG-ITSolutions, introduceert de IT-Kiosk en IT-Locker
Lars van der Voorn nieuwe sales manager Maunt
Microsoft-partner Ifective kiest voor oplossing van Okta
Tech Data UK gives Microsoft partners three telephony choices for Teams
Een op zeven IT-verantwoordelijken niet op de hoogte van datadoelstelling voor eigen organisatie
Tendermarkt groeit met 8 procent in 2019
iUsed biedt Keurmerk Refurbished nu ook bij iPads en MacBooks
Primeur voor SWOOP: Keurmerk Refurbished bij iPads, MacBooks én Windows laptops
Acunetix stelt NewChannel aan als value-add distributeur voor Benelux
Belcentrale op de Horecava 2020
HPS Connectivity Solutions wordt Gold-partner van Mobotix
Wireshark University Training: TCP/IP Analysis and Troubleshooting Networks
Belcentrale aanwezig op Horecava 2020
Software Improvement Group partners with Siemens Digital Industries Software to meet growing demand for quality assurance for embedded code
Yenlo en 42Crunch sluiten strategisch partnership voor API-beveiliging en API-beleid
Tradeinterop ondersteunt PEPPOL Access Points bij AS4 compliance
Nalanda en Vincere helpen Flanderijn groeien met robotisering
SMS versturen: ook in de winter een uitkomst!
Cybersecurity visie op 2020
Frontline past zowel koers als naam aan en wordt Frontline Solutions
SecureLink publiceert Annual Security Report 2019
MediusFlow gekozen tot voorkeursoplossing voor geautomatiseerde factuurverwerking voor Microsoft Dynamics 365 Business Central
Levelfour is de nieuwe naam van XRC, CrossNetworks en NXTcom
Botz4U versnelt adoptie chatbots MKB
Puur Data haalt ISO 27001-certificaat voor informatiebeveiliging
Consument bereid 7 euro meer te betalen voor duurzame pakketbezorging
Extreme Networks vereenvoudigt retailnetwerken met cloudtechnologiepakketten die kosten en complexiteit elimineren
Winnaars Dutch IT-channel Awards 2019 bekend
Helft Nederlanders heeft vertrouwen in computers die beslissingen voor hen nemen
Cisco-onderzoek: nieuw inzicht in ‘digital readiness’ van 141 landen
Bijna helft boeren wil manier van produceren aanpassen om te verduurzamen
Coffee Fresh vervangt legacy bedrijfssoftware met Thinkwise low-code platform
Nieuwe Eaton 3S UPS beschermt waardevolle apparatuur in huis en op kantoor tegen overspanning en stroomuitval
Bedrijfsleven heeft hoge verwachtingen van Google for Jobs
PA Consulting: € 14,5 miljard boete dreigt voor autofabrikanten door gemiste EU CO2 emissiedoelstellingen
Herman Kienhuis treedt toe als partner bij Newion
Red Hat versnelt cloud-native development met Unified Hybrid Cloud Storage voor Red Hat OpenShift Container Platform
Genesys introduceert Experience as a Service voor echte personalisatie
Microsoft Windows CryptoAPI spoofing-kwetsbaarheid (CVE-2020-0601): opsporen en herstellen