Advierten sobre ransomware en Windows que usa la CPU para esconderse

Palabras clave

Contenido patrocinado: 
El malware parece formar parte de un esquema RAAS (ransomware-as-a-service)
Autor:
El malware parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador
Ciberseguridad

EP.- Kaspersky detectó un ransomware de cifrado llamado Sodin que explota una vulnerabilidad de día cero en Windows para obtener privilegios elevados en un sistema infectado, y que aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar la detección.

La compañía de ciberseguridad explicó que el uso de la arquitectura de la CPU es una funcionalidad que no se ve a menudo en un ransomware, además, el malware no requiere la interacción del usuario y los hackers simplemente lo insertan en servidores vulnerables.

La mayoría de las soluciones de seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin embargo, enfoques sofisticados como el de Sodin, que implica la explotación de una vulnerabilidad de día cero recientemente descubierta en Windows (CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las sospechas por un tiempo.

Te interesa leer: Kaspersky e Interpol, juntos contra el cibercrimen

El malware parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. Hay indicios de que el malware se está distribuyendo a través de un programa de afiliados.

La mayoría de los objetivos del ransomware Sodin se encontraron en Asia: el 17.6% de los ataques se detectaron en Taiwán, el 9.8% en Hong Kong, y el 8.8% en la República de Corea. Sin embargo, también se han observado ataques en Europa, América del Norte y América Latina. La nota de rescate que se deja en los equipos infectados requiere un valor en bitcoins de 2.500 dólares estadounidenses por cada víctima.

Sodin hace uso también de la técnica 'Heaven's Gate' para dificultar la detección. Esto permite a un programa malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits, algo que no es una práctica común y que no ocurre a menudo en el ransomware.

"El ransomware es un tipo de malware muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores", apuntó el investigador de seguridad de Kaspersky Fedor Sinitsyn.

Contenido relacionado: