Sodin Ransomware evoluciona con un nuevo vector de ataque


El Sodinokibi Ransomware (también conocido como Sodin o REvil) fue descubierto en abril de este año; en un principio explotando una vulnerabilidad de Oracle WebLogic Server, la cual fue recientemente parcheada.

Ahora, se ha detectado que la amenaza está evolucionando, El ransomware Sodin incluye una nueva implementación de su código que puede elevar privilegios en una máquina de destino mediante la explotación de una vulnerabilidad en el componente de Win32k presente en Windows 7 hasta Windows 10, incluyendo Windows Server.

Kaspersky reveló en Octubre, que la vulnerabilidad CVE-2018-8453 ha sido explotada por el grupo APT FruityArmor, un grupo de ciberespionaje que se observó por primera vez en 2016 que tiene por objetivo a activistas, investigadores e individuos relacionados con organizaciones gubernamentales.

Continuando con la investigación, se menciona que Sodin se está propagando en todo el mundo y que la mayoría de las infecciones se observaron en la región de Asia y el Pacífico: Taiwán (17.56%), Hong Kong y Corea del Sur (8.78%). Y también ha sido visto en otros países como Japón (8,05%), Alemania (8,05%), Italia (5,12%), España (4,88%), Vietnam (2,93), Estados Unidos (2,44%) y Malasia (2,20%).

Los investigadores publicaron un análisis técnico del nuevo vector de ataque, que permite a la amenaza ganar privilegios de Sistema. Para escalar privilegios, Sodin aprovecha la vulnerabilidad en win32k.sys (kernel del subsistema de archivos de Windows), luego ejecuta dos opciones de código shell contenidas en el cuerpo del troyano de acuerdo a la arquitectura del procesador de la víctima.

Dentro de la configuración de Sodin, se incluyen campos de una clave pública, ID’s para las campañas y el distribuidor; para comprometer los datos, contiene nombres de directorios y archivos, una lista de extensiones que no son encriptadas, nombres de los procesos que serán detenidos, las direcciones del servidor de comando y control (C2), la plantilla de la nota de rescate y el exploit para obtener privilegios elevados.

La muestra de Sodin analizada por Kaspersky implementa un esquema híbrido para cifrar datos, y utiliza un algoritmo simétrico (específicamente, Salsa20) para cifrar los archivos y para proteger las claves, un cifrado asimétrico de curva elíptica.

La clave privada también se cifra con una segunda clave pública, que está presente en el código del malware y el resultado se guarda en el registro de Windows. Una vez cifrados los archivos, el ransomware agrega una extensión aleatoria que es diferente para cada computadora que infecta.


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,107,ciberseguridad,73,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,2,Empresas,111,Eventos,5,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,25,Hacking,80,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,21,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,12,Ransomware,7,Recomendaciones,15,Redes,29,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,updates,21,Vulnerabilidades,60,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Sodin Ransomware evoluciona con un nuevo vector de ataque
Sodin Ransomware evoluciona con un nuevo vector de ataque
https://1.bp.blogspot.com/-jpgloqkG6MA/XR4Ufo-4aQI/AAAAAAAABh4/nKgf3Xo0ra4hHvPPKd2ssOQ71plafO0TQCLcBGAs/s640/sodin%2Bransomware.jpg
https://1.bp.blogspot.com/-jpgloqkG6MA/XR4Ufo-4aQI/AAAAAAAABh4/nKgf3Xo0ra4hHvPPKd2ssOQ71plafO0TQCLcBGAs/s72-c/sodin%2Bransomware.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/07/sodin-ransomware-evoluciona-con-un.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/07/sodin-ransomware-evoluciona-con-un.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy