El Sodinokibi Ransomware (también conocido como Sodin, REvil) apareció en abril cuando los delincuentes lo usaron para explotar una vulnerabilidad de Oracle WebLogic Server recientemente parcheada.
Ahora la amenaza está evolucionando, los Sodinokibi. ransomware incluye un código nuevo para elevar sus privilegios en una máquina de destino mediante la explotación de una vulnerabilidad en el componente Win32k presente en Windows 7, 10 y Server.
En octubre se reveló que la vulnerabilidad CVE-2018-8453 ha sido explotada por el grupo APT , conocido como FruityArmor , un grupo de ciberespionaje que se observó por primera vez en 2016 cuando se dirigía a activistas, investigadores e individuos relacionados con organizaciones gubernamentales.
El malware explota la vulnerabilidad en el sistema operativo Windows y el usuario objetivo ni siquiera tiene que estar expuesto a una campaña de phishing para que los hackers obtengan acceso al sistema comprometido (el phishing es el principal vector de ataque para infectar un sistema con ransomware). Los atacantes sólo deben encontrar un sistema vulnerable y ejecutar un comando que descarga el archivo malicioso llamado “radm.exe”. Este archivo almacena el ransomware de forma local y después lo ejecuta.
Se descubrió que el ransomware Sodin se está propagando en todo el mundo y que la mayoría de las infecciones se observaron en la región de Asia y el Pacífico: Taiwán (17.56%), Hong Kong y Corea del Sur (8.78%).
Otros países donde se detectó Sodinokibi son: Japón (8,05%), Alemania (8,05%), Italia (5,12%), España (4,88%), Vietnam (2,93), los Estados Unidos (2,44%) y Malasia (2,20%).
Según los reportes, los hackers exigen a todas las víctimas del malware un rescate de hasta 2 mil 500 dólares en criptomoneda.
Los investigadores publicaron un análisis técnico del proceso de escalamiento de privilegios que permite que la amenaza gane privilegios del SISTEMA.
Para escalar privilegios, Sodin aprovecha la vulnerabilidad en win32k.sys, luego ejecuta dos opciones de código de shell contenidas en el cuerpo del troyano en función de la arquitectura del procesador.
El cuerpo de cada muestra de Sodin incluye un bloque de configuración cifrado que almacena la configuración y los datos utilizados por el malware.
La configuración de Sodin incluye campos para la clave pública, números de ID para la campaña y el distribuidor, para sobrescribir datos, nombres de directorios y archivos, y lista de extensiones para no estar encriptadas, nombres de los procesos que debe terminar, las direcciones del servidor C2, la plantilla de la nota de rescate y una para usar un exploit para obtener privilegios más altos en la máquina.
Una vez cifrados los archivos, Sodinokibi agregará una extensión aleatoria que es diferente para cada computadora que infecta.
El código malicioso no encripta los archivos con diseños de teclado específicos de ciertos países, entre ellos: Rusia, Ucrania, Bielorrusia, Tayikistán, Armenia, Azerbaiyán, Georgia, Kazajstán, Kirguistán, Turkmenistán, Moldavia, Uzbekistán y Siria.
El ransomware es una de las variantes de ciberataque más comunes en la actualidad, no obstante, es poco usual encontrar un malware de cifrado tan complejo, capaz de explotar la propia arquitectura del CPU para infectar un dispositivo. Debido al amplio número de sistemas potencialmente vulnerables, se espera que los reportes de infección por Sodin crezcan de forma exponencial en los próximos meses. “Es obvio que los desarrolladores de este malware invirtieron enormes recursos en su creación, por lo que tratarán de recuperar sus activos a la brevedad”, concluyeron los expertos.