Újfajta veszélyes zsarolóvírus terjed, titokban fertőzi a windowsos gépeket
Üzlet

Újfajta veszélyes zsarolóvírus terjed, titokban fertőzi a windowsos gépeket

Portfolio
Új titkosító zsarolóvírust azonosítottak a Kaspersky szakemberei. A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el - ez utóbbi egy olyan funkció, amelyet nem gyakran látni a zsarolóvírusoknál. Sőt, bizonyos esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken - olvasható a Kaspersky közleményében.
A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása egy tartós kiberfenyegetés, amely a magánszemélyeket és a különféle méretű szervezeteket egyaránt érinti világszerte. A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek azonban - mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét (CVE-2018-8453) kiaknázva jogosultságokat eszkaláló Sodin által alkalmazott eljárás - képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik. A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy "mesterkulcsot", amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól). E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek - például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a "radm.exe" elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.

A Sodin zsarolóvírus legtöbb célpontja az ázsiai térségben volt: a támadások 17,6%-át Tajvanon, 9,8%-át Hongkongban, 8,8%-át pedig a Koreai Köztársaságban észlelték. Azonban Európában, Észak-Amerikában és Latin-Amerikában is figyeltek meg támadásokat. A fertőzött számítógépeken hagyott zsarolóvírus-üzenetben 2500 USD értékű bitcoint követelnek minden áldozattól.

Ami még nehezebbé teszi a Sodin felfedezését, az az úgynevezett "mennyország kapuja" technika alkalmazása. Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A szakemberek véleménye szerint a Sodinnál az alábbi két fő ok miatt alkalmazzák a mennyország kapuja technikát:
  • Hogy megnehezítsék a rosszindulatú kód elemzését: nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel.
  • Hogy elkerüljék a kód telepített biztonsági megoldások általi észlelését. Ezzel a technikával megkerülhető az emuláció-alapú észlelés, vagyis a korábban ismeretlen fenyegetések feltárására használt módszer, amelynek lényege egy gyanúsan viselkedő kód elindítása egy valódi számítógépet utánzó (emuláló) virtuális környezetben.

Bár a zsarolóvírus a rosszindulatú programok igen népszerű típusa, mégsem gyakori, hogy ilyen kidolgozott és kifinomult verzióval találkozzunk: nem általános gyakorlat, hogy a titkosító vírusok a CPU-architecktúrát kihasználva észrevétlenek maradnak. A Sodin titkosító vírust használó támadások számában véleményünk szerint növekedés várható, mivel egy ilyen típusú rosszindulatú program létrehozásához jelentős mennyiségű erőforrás szükséges. Ezért azok, akik befektettek a program fejlesztésébe, nyilvánvalóan azt várják, hogy befektetésük busásan megtérüljön.

- mondta Fjodor Szinicin, a Kaspersky biztonsági kutatója.

A Kaspersky biztonsági megoldásai Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. A zsarolóvírus által kihasznált CVE-2018-8453 sérülékenységet korábban a Kaspersky technológiája észlelte élesben, egy támadó általi használat közben, akiről a kutatók úgy gondolják, hogy a FruityArmor hekkercsoport lehetett. A sérülékenységet 2018. október 10-én javították ki.
kínavírua200127
FrankfurtTőzsde
GettyImages-486229691
építőipari költségek
tesla logo
száló por budapest lakások szmog
Debrecen télen
70 milliós befektetést is kaphatnak magyar startupok

A programhoz partnerként csatlakozott a HEPA Magyar Exportfejlesztési Ügynökség is.

Friss hírek TÖBB FRISS HÍR
2020. február 27.
Építőipar 2020
2020. március 3.
Agrárium 2020
2020. március 5.
Biztosítás 2020
2020. március 10.
Investment, Wealth and Savings (IWS) 2020
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Kiadó raktárak és logisztikai központok

A legmodernebb ipari és logisztikai központok kínálata egy helyen

Infostart.hu

Értékesítési vezető

Értékesítési vezető

Szerkesztő - újságíró

Szerkesztő - újságíró

Event Driven Equity Analyst

Event Driven Equity Analyst

Privát banki tanácsadó

Privát banki tanácsadó
Online előadás
Hogyan reagálj a tőzsdei pánikokra, miként profitálhatsz belőle?
A tőzsdei könyv
Az alapoktól a trendkövető kereskedési stratégiákig kísér a könyv.
FrankfurtTőzsde