▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...
Homepage > Notizia

Kaspersky: nuovo ransomware che sfrutta una vulnerabilità di Windows

Il ransomware, ovvero la crittografia o il blocco di dati e di dispositivi accompagnati da una richiesta di denaro, rappresenta una minaccia informatica che colpisce individui e organizzazioni di tutte le dimensioni in tutto il mondo.

Autore: Redazione BitCity

Pubblicato il: 05/07/2019

I ricercatori di Kaspersky hanno scoperto un nuovo crypto-ransomware denominato Sodin. Il ransomware sfrutta una vulnerabilità zero-day di Windows (CVE-2018-8453) scoperta di recente per ottenere privilegi speciali all’interno di un sistema infetto e approfittare dell’architettura della Central Processing Unit (CPU) per evitare di essere rilevato, funzionalità che non si riscontra spesso nei ransomware. Inoltre, in alcuni casi il malware non richiede alcuna interazione da parte dell'utente, viene semplicemente inserito su server vulnerabili dai criminali.
L’impressione è che questo malware faccia parte di uno schema RAAS (Ransoware As A Service): ciò significa che chi lo diffonde è libero di scegliere in che modo propagare l’encryptor. Alcune evidenze dimostrano che il malware viene distribuito tramite un programma di affiliazione di altri criminali. Una di queste prove, ad esempio, è un meccanismo lasciato dagli sviluppatori del malware all’interno delle sue funzionalità che permette loro di decriptare i file senza che gli affiliati lo scoprano: una “master key” che non richiede alcuna chiave di distribuzione per la decriptazione. Normalmente, le chiavi di distribuzione sono quelle usate per decriptare i file delle vittime che hanno pagato il riscatto. Questa funzionalità potrebbe essere utilizzata dagli sviluppatori per controllare la decrittazione dei dati delle vittime o la distribuzione del ransomware, ad esempio, escludendo alcuni distributori dal programma di affiliazione, rendendo il malware inutile.
Inoltre, di solito, il ransomware richiede una qualche forma di interazione con l’utente, come l’apertura di un allegato o di una email o il click su un link malevolo. I criminali che hanno utilizzato Sodin, invece, non hanno avuto bisogno di questo escamotage poiché si sono limitati a cercare un server vulnerabile al quale inviare un comando per scaricare il file malevolo “radm.exe”. Successivamente, il ransomware veniva salvato localmente ed eseguito. 
La maggior parte degli obiettivi del ransomware Sodin sono stati trovati nella regione asiatica: il 17,6% degli attacchi è stato rilevato a Taiwan, il 9,8% a Hong Kong e l'8,8% nella Repubblica di Corea. Diversi  attacchi sono stati rilevati anche in Europa, Nord America e America Latina.
L’avviso lasciato dal ransomware sui PC infetti richiedeva ad ogni vittima 2500 dollari (USD) di Bitcoin. Ciò che rende Sodin ancora più difficile da rilevare è l’impiego della tecnica “Heaven’s Gate”. Questa pratica permette a un programma malevolo di eseguire un codice a 64 bit da un processo in esecuzione a 32 bit, il che non è una prassi comune e non accade spesso con i ransomware.
I ricercatori di Kaspersky ritengono che Sodin utilizzi la tecnica Heaven’s Gate per due motivi principali:
  • Rendere più complicata l’analisi del codice malevolo. Infatti, non tutti i “debugger” (esaminatori del codice), supportano questa tecnica e sono in grado di riconoscerla.
  • Eludere il rilevamento da parte delle soluzioni di sicurezza installate. La tecnica è utilizzata per aggirare il rilevamento basato sull’emulazione. Si tratta di un metodo per scoprire minacce precedentmente sconosciute che implicano il lancio del codice che si sta comportando in modo sospetto in un ambiente virtuale che “emula” un computer reale.
“Il ransomware è un tipo di malware molto comune, ma non accade spesso di trovare versioni così elaborate e sofisticate. Utilizzare l’architettura della CPU per evitare di essere trovati è una pratica non comune per gli encryptor. Ci aspettiamo un aumento del numero degli attacchi che coinvolgono l’encryptor Sodin dal momento che la quantità di risorse necessarie per costruire questo malware è significativa. I criminali che hanno investito nello sviluppo del malware erano certi che avrebbero avuto successo, dichiara Fedor Sinitsyn, Security Researcher di Kaspersky.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: