Nieuwe ransomware Sodin profiteert van Windows-lek

Kaspersky-onderzoekers waarschuwen bedrijven voor Sodin. Dat is nieuwe encryptie-ransomware die gebruikmaakt van een recent ontdekt zero-day-lek in Windows. Daarmee worden meer toegangsrechten verkregen voor geïnfecteerde systemen. Om detectie te voorkomen, maakt Sodin gebruik van de CPU-architectuur. Dat is volgens Kaspersky heel opmerkelijk omdat dit niet vaak voorkomt bij ransomware. Bovendien blijkt dat de malware ook zonder gebruikersinteractie kan landen op kwetsbare servers. Een aantal Europese bedrijven zijn inmiddels slachtoffer geworden van Sodin waarbij ze een ‘losgeldbrief’ ontvingen voor betaling van $2500 in bitcoins.

Deze nieuwe zogeheten Sodin malware lijkt onderdeel te zijn van een RAAS-scenario (ransomware-as-a-service). Dat betekent dat distributeurs vrijelijk kunnen kiezen op welke manier de encryptor zich verspreidt. Er zijn aanwijzingen dat de malware wordt verspreid via online verkoop van partnerprogramma’s. De ontwikkelaars hebben bijvoorbeeld een maas in de functionaliteit van de malware achtergelaten. Daarmee kunnen ze bestanden decoderen zonder dat het slachtoffer daar achter komt. Een ‘masterkey’ zorgt ervoor, dat er geen distributeurssleutel nodig is voor decodering. Normaal gesproken worden de bestanden van slachtoffers die hebben betaald gedecodeerd met zo’n distributiesleutel. Ontwikkelaars kunnen deze functie gebruiken om decryptie van data of de distributie van de ransomware te regelen. Bijvoorbeeld door bepaalde distributeurs uit het aangesloten programma te verwijderen en zo de malware onbruikbaar te maken.

Doorgaans vereist ransomware enige vorm van gebruikersinteractie zoals het openen van een bijlage bij een e-mailbericht of het aanklikken van een kwaadaardige link. Wat opvalt, is dat de Sodin-aanvallers dat niet nodig hebben. In de meeste gevallen hebben ze kwetsbare servers gevonden en sturen ze een commando om een kwaadaardig bestand met de naam "radm.exe" te downloaden. Via dit commando wordt de ransomware vervolgens op een lokale computer opgeslagen en uitgevoerd.

Detectie van Sodin wordt nog moeilijker omdat ook de ‘Heaven’s Gate’ techniek wordt toegepast. Daarmee kan een kwaadaardig programma 64-bits code uitvoeren vanuit een 32-bits actief proces. Dat is niet gebruikelijk en komt bijna nooit voor in ransomware. Kaspersky-onderzoekers vermoeden dat de Heaven's Gate-techniek om twee redenen wordt ingezet:

Om de analyse van de kwaadaardige code moeilijker te maken. Niet alle ‘debuggers’ (code-onderzoekprogramma’s) zijn bekend met deze techniek en herkennen hem derhalve niet.
Om detectie door geïnstalleerde beveiligingsoplossingen te ontwijken. De techniek wordt gebruikt om emulatie-gebaseerde detectie te omzeilen. Dat is een methode die bedoeld is voor het ontdekken van nog onbekende dreigingen waarbij code wordt gestart die verdacht gedrag vertoont in een virtuele omgeving waarbij een echte computer wordt nagebootst.

“Ransomware is inmiddels een zeer populaire vorm van malware. Echter, zo´n uitgebreide en verfijnde variant als Sodin komen we niet vaak tegen”, zegt Jornt van der Wiel, security-expert bij Kaspersky. “De CPU-architectuur gebruiken om onder de radar te blijven, is geen gangbare praktijk voor encryptors. Er komt bovendien heel wat bij kijken om dergelijke malware te bouwen. Daarmee is het waarschijnlijk dat aanvallen met Sodin-encryptie toe gaan nemen. De ontwikkelaars willen natuurlijk hun investeringen terugverdienen”.

De meeste doelwitten van Sodin-ransomware zijn aangetroffen in de Aziatische regio: 17,6 procent van de aanvallen is gedetecteerd in Taiwan, 9,8 procent in Hong Kong en 8,8 procent in de Republiek Korea. Er zijn ook aanvallen waargenomen in Europa, Noord-Amerika en Latijns-Amerika. De ‘losgeldbrief’ die wordt achtergelaten op geïnfecteerde pc's eist van elk slachtoffer $ 2.500 (USD) in bitcoins.

Lees meer informatie in het volledige rapport op Securelist.com.

	Zoom neemt Keybase over met als doel ontwikkeling van meest gebruikte enterprise end-to-end encryptiedienst

	Zoom bereikt mijlpaal in 90-dagenplan om beveiliging te versterken met de release van Zoom 5.0

	Cybercriminelen gebruiken WebEx en Zoom in hun phishing-aanvallen

	Organisaties niet goed voorbereid op ransomware, oordelen IT’ers

	Fullstaq en Venafi bestrijden malware met Jenkins plugin voor Next-Gen Code Signing

	Ransomware-as-a-Service verdienmodel voor moderne hacker

	Ontdekte Zero-day kwetsbaarheid in Windows OS al gebruikt in gerichte aanval

	Fortinet’s voorspellingen voor 2020: beveiliging draait om artificial intelligence en contraspionage

Vandaag gepubliceerd
	Talking Bikes: Siemens Mobility maakt fietsers digitaal zichtbaar

	Nieuwe softwareomgeving voor financiële dienstverlener SKG

	Johnny Pronk aangesteld als key accountmanager bij Renewd

	Pure biedt flexibiliteit en keuzevrijheid aan klanten die een weg moeten vinden in de uitdagende omgeving van vandaag

	Greenhouse verdubbelt capaciteit datacenter Naaldwijk en benoemt Chief Commercial Officer

	Uptime datacenter BIT cruciaal voor kwaliteit van diensten Missing Piece

	Sharp introduceert stijlvol zwart PV-zonnepaneel met half-cut-cellen

	commercetools erkend om B2B-commerce

	Toshiba Tec Retail gaat verder onder de naam Toshiba Global Commerce Solutions (Benelux)

	Razer Gigantus V2 – go big or go home

	F5 maakt Tom Fountain topman voor wereldwijde services en strategie

	Nakko becomes Notificare partner

	Scale-up Gymeyes lanceert bestelkiosk voor horeca

	Vanaf 1 juni reserveren bij cafés en terrassen met nieuwe app

	Cybereason sluit samenwerking met Pinewood om slagkracht in Nederland te vergroten

	GitLab breidt functionaliteiten van DevSecOps-platform uit met release 13.0

	VMware introduceert tweede generatie van VMware Cloud on Dell EMC

	CM.com takes Conversational Commerce to the next level through the acquisition of leading Conversational AI provider CX Company

	Verdwijnen DWDD doet literatuurwereld veel pijn
25 mei 2020
	Workiva en Trintech kondigen strategische samenwerking aan die financiële afsluitprocessen en wettelijke rapportageprocessen transformeert

	Snel groeiende vraag naar managed securitydiensten creëert nieuwe kansen voor MSP’s

	Sales, marketing en corona: licht aan het einde van de tunnel?

	MeetingpointAdvies biedt kosteloos videobellen aan financieel adviseurs

	Nieuwe Zyxel Multi-Gigabit switch helpt bedrijven eenvoudig aan de WiFi 6-standaard

	Nutanix breidt integratie met ServiceNow uit en stroomlijnt IT-operations en -kosten

	Secureworks introduceert nieuw wereldwijd partnerprogramma

	Drie nieuwe Fiber Aggregation Switches met optioneel cloud-beheer

	Amsterdam eindigt als tweede op wereldwijde ranglijst artificiële intelligentie

	Women in Tech komt met een 24 hour virtual conference

	Hack EasyJet: dit kunnen slachtoffers doen

	Bijna helft wil ook na Coronacrisis vaker thuiswerken

	Kaspersky steunt zorginstellingen tijdens COVID-19 pandemie met gratis productlicenties