Kattintás nélkül terjedő zsarolóvírust azonosítottak
Egyes esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken. - írja a feol.hu.
Illusztráció: pixabay.com
Új titkosító zsarolóvírust azonosítottak a Kaspersky szakemberei. A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nemigen látni zsarolóvírusoknál.
A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása tartós kiberfenyegetés, amely
a magánszemélyeket és a szervezeteket egyaránt érinti világszerte.
A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét kiaknázva jogosultságokat eszkaláló Sodin – azonban
képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.
A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik.
A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól).
E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.
Nehéz kivédeni
Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek, például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.
Ami még nehezebbé teszi a Sodin felfedezését, az
az úgynevezett „mennyország kapuja” technika alkalmazása.
Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.
