Ransomware Sodin sequestra PCs e é detectado na América Latina

O ransomware Sodin explora uma vulnerabilidade do Windows (zero-day) e, ao infectar um computador, criptografa os arquivos e pede US$ 250 em bitcoins para a liberação. Infelizmente, ele já foi detectado na América Latina, mesmo com foco em usuários asiáticos, afirma a empresa de segurança Kaspersky.

Segundo pesquisadores da empresa, o ransomware obtém privilégios de administrador assim que infecta um computador com Windows. Além disso, ele aproveita a arquitetura da Unidade Central de Processamento para evitar sua detecção, uma funcionalidade que não é muito comum em ransomware, de acordo com a Kaspersky.

Os invasores que usam o Sodin não precisavam de ajuda de phishing para infectar máquinas

Para entrar em um sistema, cibercriminosos enviam o clássico phishing para enganar a vítima e ela acabar clicando em um link falso para o download do ransomware. Os links falsos costumam chegar via emails ou mensagens falsas em aplicativos de mensagens, por isso é necessário estar sempre atento. Neste caso, do Sodin, é buraco é mais embaixo.

Os invasores que usam o Sodin não precisavam de tal ajuda, geralmente eles encontram um servidor vulnerável e enviam um comando para baixar o arquivo malicioso chamado "radm.exe", isso basta para baixar o ransomware e executá-lo. A Kaspersky ainda afirma que sua detecção é difícil por causa de uma técnica chamada “Heave’s Gate”: ela permite que um programa mal-intencionado execute código de 64 bits de um processo em execução de 32 bits, o que não é uma prática comum e mais incomum em ransomware.

Vulnerabilidades exploradas pelo Sodin:

• CVE-2018-8453
• CVE-2019-2725 
• CVE-2019-2729

“Apesar dos ataques de ransomware terem caído 30% nos últimos dois anos, temos observado uma mudança de comportamento: os hackers têm escolhido os seus alvos tendo em conta seu potencial, dando preferência a grandes instituições e empresas que possam pagar o resgate pedido, diminuindo, assim, o volume de ataques contra usuários domésticos. Este foco em organizações tem como objetivo deixá-las sem sistema por bastante tempo, causando prejuízos consideráveis, o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil.

O ransomware Sodin tem a Ásia como alvo e seus ataques se concentram em Taiwan, Hong Kong e República da Coreia. Contudo, a ação maliciosa já foi detectada na América Latina, América do Norte e Europa. A Kaspersky não revelou quais países dessas regiões teriam sido atingidos.

Como não ser infectado por ransomware:

• Certificar que todos os softwares usados na empresa/em casa sejam atualizados. Produtos de segurança com gerenciamento de vulnerabilidades e de atualizações podem automatizar esses processos
• Ficar atento aos links recebidos e ao remetente — não clicar em endereços recebidos de contatos desconhecidos é a máxima.
• Vale notar que é interessante contar com uma ferramenta antivírus em seu smartphone e computador

Fonte: Kaspersky.