Un nuevo ransomware de cifrado llamado Sondin ataca a Windows, esto a través de una actividad de explotación de vulnerabilidad de día cero.
Una vez que el sistema se encuentra infectado se toman privilegios elevados, con la finalidad de aprovechar la arquitectura de la Unidad Central de Procesamiento, evitando así su detección.
La compañía de ciberseguridad Kaspersky quien descubrió el ransomware, afirma que la funcionalidad del uso de la arquitectura de la CPU es poco inusual en este tipo de virus y además suele no necesitar la interacción con el usuario, basta con instalarse en servidores vulnerables.
Lamentablemente el cifrado, bloqueo de datos o dispositivos que involucra dinero es una ciberamenaza prologada que afecta tanto a individuos como a las propias organizaciones.
Aun cuando existen soluciones eficientes para detectar este tipo de amenazas, el Sodin cuenta con un enfoque sofisticado que se vale de privilegios especiales con la capacidad de evadir toda sospecha de su existencia por un tiempo prolongado.
Los indicios arrojan que el malware podría ser parte de un esquema RAAS (ransomware-as-a-service) esto quiere decir que los distribuidores de tan potente amenaza pueden elegir la forma de propagación del encriptador. De acuerdo a las pruebas se detecta que posiblemente su distribución esté siendo realizada desde un programa de afiliados.
La funcionalidad oculta del malware creada por sus desarrolladores les permite descifrar archivos sin que los afiliados lo sepan, únicamente necesitan de un servidor vulnerable al cual se envía un comando para descargar el archivo malicioso llamado radm.exe, permitiendo guardar el ransomware de forma local y ejecutarlo.
El ransomware Sodin se encontró propagado en Asia con un 17,6 por ciento de ataques, que fueron detectados en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la República de Corea. Así mismo se han manifestado ataques en Europa, América del Norte y América Latina.
Una vez realizada la intrusión al equipo, se deja una nota solicitando un rescate con valor en bitcóins de 2.500 dólares estadounidenses por cada víctima.
Fedor Sinitsyn investigador de seguridad de Kaspersky menciona «El ‘ransomware’ es un tipo de ‘malware’ muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores».
Ante la creciente ola de ciberamenazas que se aprovechan y se valen de las vulnerabilidades de nuestros equipos y sistemas es necesario activar servicios de detección, prevención y emergencia para defender los datos e información de las empresas.
{{cta(’30f9031b-d385-4d1d-b71f-6cbe1ee5aa75′)}}