4p
Új titkosító zsarolóvírust azonosítottak, amely a Windows veszélyes sérülékenységét használja ki.

A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nem gyakran látni a zsarolóvírusoknál. Sőt, bizonyos esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken– figyelmeztet a Kaspersky kiberbiztonsági vállalat.

A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása egy tartós kiberfenyegetés, amely a magánszemélyeket és a különféle méretű szervezeteket egyaránt érinti világszerte. A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek azonban – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét (CVE-2018-8453) kiaknázva jogosultságokat eszkaláló Sodin által alkalmazott eljárás – képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

Egy kiskaput hagytak

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik. A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól). E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek – például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.

A Sodin zsarolóvírus legtöbb célpontja az ázsiai térségben volt: a támadások 17,6 százalékát Tajvanon, 9,8 százalékát Hongkongban, 8,8 százalékát pedig a Koreai Köztársaságban észlelték. Azonban Európában, Észak-Amerikában és Latin-Amerikában is figyeltek meg támadásokat. A fertőzött számítógépeken hagyott zsarolóvírus-üzenetben 2500 USD értékű Bitcoint követelnek minden áldozattól.

A mennyország kapuja

Ami még nehezebbé teszi a Sodin felfedezését, az az úgynevezett „mennyország kapuja” technika alkalmazása. Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A szakemberek véleménye szerint a Sodinnál az alábbi két fő ok miatt alkalmazzák a mennyország kapuja technikát:

  • Hogy megnehezítsék a rosszindulatú kód elemzését: nem minden hibakereső program támogatja ezt a technikát, így nem is ismeri fel.
  • Hogy elkerüljék a kód telepített biztonsági megoldások általi észlelését. Ezzel a technikával megkerülhető az emuláció-alapú észlelés, vagyis a korábban ismeretlen fenyegetések feltárására használt módszer, amelynek lényege egy gyanúsan viselkedő kód elindítása egy valódi számítógépet utánzó virtuális környezetben.

LEGYEN ÖN IS ELŐFIZETŐNK!

Szerkesztőségünkben mindig azon dolgozunk, hogy higgadt hangvételű, tárgyilagos és magas szakmai színvonalú írásokat nyújtsunk Olvasóink számára.
Előfizetőink máshol nem olvasott, minőségi tartalomhoz jutnak hozzá havonta már 1490 forintért.
Előfizetésünk egyszerre nyújt korlátlan hozzáférést az Mfor.hu és a Privátbankár.hu tartalmaihoz, a Klub csomag pedig egyebek között a Piac és Profit magazin teljes tartalmához hozzáférést és hirdetés nélküli olvasási lehetőséget is tartalmaz.


Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Vásárló Újrakezdődik a harc a vasárnapi boltzár körül a lengyeleknél
Buksza blog | 2024. március 29. 13:03
Lengyelországban az előző kormányzati ciklusban vezették be a vasárnapi boltzárat, ám az őszi parlamenti választáson hatalomra került koalíciós pártok egy része a nyitvatartási szabályok visszaállítását ígérte.
Vásárló Hiányzik még valami? Itt vannak a hosszú hétvége "kivételei"
Buksza blog | 2024. március 29. 12:23
A benzinkutas boltokra lehet számítani, de gyógyszert is be lehet szerezni a hosszú hétvége ünnepnapjain. 
Vásárló Végleg vége a jó világnak: a 60 százalékos drágulás lassan megérkezhet a boltokba
Privátbankár.hu | 2024. március 28. 15:06
A csokoládé olyan szenvedélye az embereknek, hogy az elmúlt hónapokban képes volt rácáfolni a legalapvetőbb közgazdasági törvényre, a kereslet és kínálat önszabályozó mechanizmusának működésére.
Vásárló Kellemetlen áremelkedésre ébredhetnek szerdán a magyar autósok
Privátbankár.hu | 2024. március 25. 12:47
Drágul a benzin a húsvéti ünnepek előtt. 
Vásárló Hiába van vasszigor a magyar diszkontokban, erre jutott a legújabb Privátbankár Diszkont Árkosár-felmérés
Csernátony Csaba, Buksza blog | 2024. március 25. 05:44
Februárhoz képest 1,9 százalékkal nőtt a Privátbankár Diszkont Árkosarában szereplő termékek átlagára. Októberhez képest viszont bő 4 százalékos a csökkenés.
Vásárló Újra napirendre került a vasárnapi boltzár, a szomszédban
Buksza blog | 2024. március 24. 16:09
Könnyen lehet, hogy kellemetlen meglepetés érheti hamarosan a Romániába utazó magyarokat, ugyanis a bukaresti kormányt azt fontolgatja, hogy bevezeti a boltok kötelező vasárnapi zárva tartását.
Vásárló „Eldugják” a csokit a vásárlók elől egy diszkontláncban
Privátbankár.hu | 2024. március 23. 12:46
Az áruházak egyik vásárlásra csábító trükkje, hogy a pénztárak futószalagjai fölötti polcokon csábító apróságokat kínálnak a vevőknek ösztönözve az impulzus vásárlást. Ez megváltozhat a jövőben.
Vásárló Pórul járt a Tesco, a Lidl jött ki jól a veszekedésből
Buksza blog | 2024. március 21. 10:16
Mélyen a zsebébe kell nyúlnia a Tescónak azt követően, hogy a fellebbviteli bíróság is úgy találta, megtévesztő, ha úgy reklámozza Clubcardjának árait, mintha azok a Lildlénél is kedvezőbbek lennének.
Vásárló A romániai vásárlók nem ismernek tréfát
Privátbankár.hu | 2024. március 20. 15:21
Romániában győzelemre állnak a hazai élelmiszerek. Az ottani vásárlók többsége azokat választja a külföldi termékek helyett. Előbb leveszik a polcról a helyben termelt árut és csak utána nézik meg az árát. 
Vásárló Az osztrák nyugdíj igénylése
Márkázott tartalom | 2024. március 20. 09:47
Amennyiben életünk során nem csak Magyarországon dolgoztunk, hanem más országokban is, akkor jó tudni, hogy ezekből az országokból is számíthatunk nyugdíjkifizetésre. Ha Ausztriában dolgoztunk, akkor attól függően, hogy ez az időtartam mennyi volt, kaphatunk nyugdíjat egyenesen az osztrák nyugdíjfolyósítótól, vagy a magyar nyugdíjunkat emeli meg ez az időszak. Cikkünkben segítséget nyújtunk az osztrák nyugdíjrendszer megismeréséhez.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG