Hirdetés
Hirdetés

Megjelent egy újabb, szokatlan zsarolóvírus

2019. július 07., 16:46

Új titkosító zsarolóvírust azonosítottak, amely a Windows veszélyes sérülékenységét használja ki.

A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nem gyakran látni a zsarolóvírusoknál. Sőt, bizonyos esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken– figyelmeztet a Kaspersky kiberbiztonsági vállalat.

Hirdetés

A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása egy tartós kiberfenyegetés, amely a magánszemélyeket és a különféle méretű szervezeteket egyaránt érinti világszerte. A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek azonban – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét (CVE-2018-8453) kiaknázva jogosultságokat eszkaláló Sodin által alkalmazott eljárás – képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

Egy kiskaput hagytak

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik. A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól). E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek – például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.

A Sodin zsarolóvírus legtöbb célpontja az ázsiai térségben volt: a támadások 17,6 százalékát Tajvanon, 9,8 százalékát Hongkongban, 8,8 százalékát pedig a Koreai Köztársaságban észlelték. Azonban Európában, Észak-Amerikában és Latin-Amerikában is figyeltek meg támadásokat. A fertőzött számítógépeken hagyott zsarolóvírus-üzenetben 2500 USD értékű Bitcoint követelnek minden áldozattól.

A mennyország kapuja

Ami még nehezebbé teszi a Sodin felfedezését, az az úgynevezett „mennyország kapuja” technika alkalmazása. Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A szakemberek véleménye szerint a Sodinnál az alábbi két fő ok miatt alkalmazzák a mennyország kapuja technikát:

  • Hogy megnehezítsék a rosszindulatú kód elemzését: nem minden hibakereső program támogatja ezt a technikát, így nem is ismeri fel.
  • Hogy elkerüljék a kód telepített biztonsági megoldások általi észlelését. Ezzel a technikával megkerülhető az emuláció-alapú észlelés, vagyis a korábban ismeretlen fenyegetések feltárására használt módszer, amelynek lényege egy gyanúsan viselkedő kód elindítása egy valódi számítógépet utánzó virtuális környezetben.

500 000 forint, ha átmeneti segítségre van szükség

Ne csússz el a pénzügyeiddel! Ha hirtelen kiadások merültek fel és nem tudsz hova fordulni, megoldást jelenthet egy villámgyorsan felvehető kölcsön. A legjobbat gyorskölcsön kalkulátorunk segítségével találhatod meg! Ezek a legkedvezőbb ajánlatok a törlesztőrészlet nagysága alapján, ha 500 000 forintra van szükséged 36 hónapos futamidővel: A Cetelem Saját Ritmus személyi kölcsönénél 16 763 forint a havi törlesztőrészlet, a THM pedig 14,20 százalék. Pár forinttal tér el a K&H Bank személyi kölcsöne: 16 845 forintos törlesztőrészlettel és 13,79 százalékos THM-mel igényelhetjük, de kedvező ajánlat még az Erste Bank Most személyi kölcsöne is, a törlesztőrészlet 17 330 forint, a THM pedig 16,88 százalék. A Raiffeisen Bank személyi kölcsönének 17 566 Ft a törlesztőrészlete, a THM 18,53 százalék.További ajánlatok érdekelnek, esetleg nagyobb hitelösszeg? Használd ezt a hitelkalkulátort!

Értékeld a cikket
Jelenlegi értékelés

Címlapon

Tőzsde és munkahelyek: Jó az a magyaroknak, ha a Tesla Berlinben termel?

Tőzsde és munkahelyek: Jó az a magyaroknak, ha a Tesla Berlinben termel?

A Tesla bejelentése a berlini “gigagyár” felépítéséről még a németeket is megosztja. Ami pedig rossz a német autógyáraknak, az nem lehet túl jó a magyaroknak sem. Más szempontból viszont csökkenni látszik a kereslet a cég járműveire, miközben a részvény árfolyama egyre közelebb kerül a mindenkori csúcshoz.

Hirdetés
Hirdetés

További cikkek

Hirdetés
Hirdetés

Videók

Utánajártunk

Privátbankár Árkosár

Hírlevél

Feliratkozáshoz kérjük adja meg e-mail címét:

Powered by Saxo Bank

Szavazás

Vettél már a szuper-államkötvényből (MÁP Plusz)?