www.marcommit.nlProgressCommunications.euwww.whizpr.nl
INFLUX PRProgressCommunications.euINFLUX PR

Volg ook via:
Datum: (7 jaar en 17 dagen geleden)
Bedrijf:
PR: Progress Communications

Nieuwe ransomware Sodin profiteert van Windows-lek

Kaspersky-onderzoekers waarschuwen bedrijven voor Sodin. Dat is nieuwe encryptie-ransomware die gebruikmaakt van een recent ontdekt zero-day-lek in Windows. Daarmee worden meer toegangsrechten verkregen voor geïnfecteerde systemen. Om detectie te voorkomen, maakt Sodin gebruik van de CPU-architectuur. Dat is volgens Kaspersky heel opmerkelijk omdat dit niet vaak voorkomt bij ransomware. Bovendien blijkt dat de malware ook zonder gebruikersinteractie kan landen op kwetsbare servers. Een aantal Europese bedrijven zijn inmiddels slachtoffer geworden van Sodin waarbij ze een ‘losgeldbrief’ ontvingen voor betaling van $2500 in bitcoins.

Deze nieuwe zogeheten Sodin malware lijkt onderdeel te zijn van een RAAS-scenario (ransomware-as-a-service). Dat betekent dat distributeurs vrijelijk kunnen kiezen op welke manier de encryptor zich verspreidt. Er zijn aanwijzingen dat de malware wordt verspreid via online verkoop van partnerprogramma’s. De ontwikkelaars hebben bijvoorbeeld een maas in de functionaliteit van de malware achtergelaten. Daarmee kunnen ze bestanden decoderen zonder dat het slachtoffer daar achter komt. Een ‘masterkey’ zorgt ervoor, dat er geen distributeurssleutel nodig is voor decodering. Normaal gesproken worden de bestanden van slachtoffers die hebben betaald gedecodeerd met zo’n distributiesleutel. Ontwikkelaars kunnen deze functie gebruiken om decryptie van data of de distributie van de ransomware te regelen. Bijvoorbeeld door bepaalde distributeurs uit het aangesloten programma te verwijderen en zo de malware onbruikbaar te maken.

Doorgaans vereist ransomware enige vorm van gebruikersinteractie zoals het openen van een bijlage bij een e-mailbericht of het aanklikken van een kwaadaardige link. Wat opvalt, is dat de Sodin-aanvallers dat niet nodig hebben. In de meeste gevallen hebben ze kwetsbare servers gevonden en sturen ze een commando om een kwaadaardig bestand met de naam "radm.exe" te downloaden. Via dit commando wordt de ransomware vervolgens op een lokale computer opgeslagen en uitgevoerd.

Detectie van Sodin wordt nog moeilijker omdat ook de ‘Heaven’s Gate’ techniek wordt toegepast. Daarmee kan een kwaadaardig programma 64-bits code uitvoeren vanuit een 32-bits actief proces. Dat is niet gebruikelijk en komt bijna nooit voor in ransomware. Kaspersky-onderzoekers vermoeden dat de Heaven's Gate-techniek om twee redenen wordt ingezet:
  • Om de analyse van de kwaadaardige code moeilijker te maken. Niet alle ‘debuggers’ (code-onderzoekprogramma’s) zijn bekend met deze techniek en herkennen hem derhalve niet.
  • Om detectie door geïnstalleerde beveiligingsoplossingen te ontwijken. De techniek wordt gebruikt om emulatie-gebaseerde detectie te omzeilen. Dat is een methode die bedoeld is voor het ontdekken van nog onbekende dreigingen waarbij code wordt gestart die verdacht gedrag vertoont in een virtuele omgeving waarbij een echte computer wordt nagebootst.
“Ransomware is inmiddels een zeer populaire vorm van malware. Echter, zo´n uitgebreide en verfijnde variant als Sodin komen we niet vaak tegen”, zegt Jornt van der Wiel, security-expert bij Kaspersky. “De CPU-architectuur gebruiken om onder de radar te blijven, is geen gangbare praktijk voor encryptors. Er komt bovendien heel wat bij kijken om dergelijke malware te bouwen. Daarmee is het waarschijnlijk dat aanvallen met Sodin-encryptie toe gaan nemen. De ontwikkelaars willen natuurlijk hun investeringen terugverdienen”.

De meeste doelwitten van Sodin-ransomware zijn aangetroffen in de Aziatische regio: 17,6 procent van de aanvallen is gedetecteerd in Taiwan, 9,8 procent in Hong Kong en 8,8 procent in de Republiek Korea. Er zijn ook aanvallen waargenomen in Europa, Noord-Amerika en Latijns-Amerika. De ‘losgeldbrief’ die wordt achtergelaten op geïnfecteerde pc's eist van elk slachtoffer $ 2.500 (USD) in bitcoins.

Lees meer informatie in het volledige rapport op Securelist.com.

Verstreken tijd: 7 jaar en 17 dagen
PR contact  

Logo Progress Communications
Kaspersky contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo Productowner.nl
Logo ZAMKO
Logo Innvolve
Logo ClickPatrol
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo BusinessCom
Logo DNA Services B.V.
Logo PQR
Logo Web Wings
Logo Spryng
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Whizpr
Logo Databricks
Logo KnowBe4
Logo Fujitsu Nederland
Logo NIRPA
Logo Onguard
Logo SureSync
Logo Red Hat
Logo HCC
Logo Xebia
Logo Unit4
Logo reichelt elektronik
Logo Conclusion
Logo Schneider Electric
Logo Proofpoint
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103962 persberichten
7050 bedrijfsprofielen
60 PR-bureauprofielen
17607 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.marcommit.nlProgressCommunications.euwww.deepr.nl
www.deepr.nlwww.deepr.nlwww.deepr.nl