Sodin: é assim que funciona o mais recente ransomware que ameaçou os computadores com Windows
Estamos falando novamente sobre problemas de segurança no Windows 10 e, neste caso, devido a uma falha de segurança descoberta por pesquisadores da Kaspersky. A ameaça que a empresa colocou sobre a mesa responde pelo nome de Sodin e é uma vulnerabilidade de dia zero com o codinome CVE-2018-8453.
"Sodin é uma ameaça na forma de um novo ransomware de criptografia que explora uma vulnerabilidade de dia zero no Windows para obter privilégios elevados e isso maneira de assumir o controle do computador infectado."
Sodin é um ransomware que tira proveito da arquitetura da Unidade Central de Processamento (a chamada CPU), onde habilita a criptografia de 64 bits no processador de 32 bits processadore assim consegue evitar a detecção por sistemas de alerta. É a chamada técnica Heaven&39;s Gate. E este é um dos pontos chave deste novo ransomware ."
Sodin parece fazer parte de um esquema RAAS (ransomware-as-a-service) que está se espalhando rapidamente porque não requerem intervenção para sua instalação por parte do usuário. Esta ameaça está sendo distribuída por meio de um programa de afiliados e eles estão aninhados em servidores externos.
O invasor consegue instalar o ransomware nos servidores que posteriormente distribuem o software infectado nos computadores que o baixam e o usuário não perceber a ameaça a qualquer momento.Eles adicionaram uma funcionalidade oculta que permite descriptografar arquivos sem que os downloaders saibam. É um tipo de chave mestra que não requer uma chave de revendedor para descriptografia.
Fyodor Sinitsin, especialista da Kaspersky Lab, diz que é esperado um aumento no número de ataques Sodin,porque o ameaça foi desenvolvida com maestria para escapar dos sistemas de detecção e bloqueio. Para tentar se proteger, ele insta os usuários a manterem atualizados os softwares de seus computadores, inclusive os destinados à proteção contra ameaças. Também é aconselhável ter cópias de segurança em fontes externas e desconectadas do PC. A vulnerabilidade CVE-2018-8453, no entanto, foi corrigida no final de 2019"
Mais informações | Kaspersky
