Kaspersky-onderzoekers waarschuwen bedrijven voor Sodin. Dat is nieuwe encryptie-ransomware die gebruikmaakt van een recent ontdekt zero-day-lek in Windows. Daarmee worden meer toegangsrechten verkregen voor geïnfecteerde systemen. Om detectie te voorkomen, maakt Sodin gebruik van de CPU-architectuur. Dat is volgens Kaspersky heel opmerkelijk omdat dit niet vaak voorkomt bij ransomware. Bovendien blijkt dat de malware ook zonder gebruikersinteractie kan landen op kwetsbare servers. Een aantal Europese bedrijven zijn inmiddels slachtoffer geworden van Sodin waarbij ze een ‘losgeldbrief’ ontvingen voor betaling van USD 2500 in bitcoins.
Deze nieuwe zogeheten Sodin malware lijkt onderdeel te zijn van een RAAS-scenario (ransomware-as-a-service). Dat betekent dat distributeurs vrijelijk kunnen kiezen op welke manier de encryptor zich verspreidt. Er zijn aanwijzingen dat de malware wordt verspreid via online verkoop van partnerprogramma’s. De ontwikkelaars hebben bijvoorbeeld een maas in de functionaliteit van de malware achtergelaten. Daarmee kunnen ze bestanden decoderen zonder dat het slachtoffer daarachter komt. Een ‘masterkey’ zorgt ervoor, dat er geen distributeurssleutel nodig is voor decodering. Normaal gesproken worden de bestanden van slachtoffers die hebben betaald gedecodeerd met zo’n distributiesleutel. Ontwikkelaars kunnen deze functie gebruiken om decryptie van data of de distributie van de ransomware te regelen. Bijvoorbeeld door bepaalde distributeurs uit het aangesloten programma te verwijderen en zo de malware onbruikbaar te maken.
De meeste doelwitten van Sodin-ransomware zijn aangetroffen in de Aziatische regio: 17,6 procent van de aanvallen is gedetecteerd in Taiwan, 9,8 procent in Hong Kong en 8,8 procent in de Republiek Korea. Er zijn ook aanvallen waargenomen in Europa, Noord-Amerika en Latijns-Amerika. De ‘losgeldbrief’ die wordt achtergelaten op geïnfecteerde pc's eist van elk slachtoffer USD 2.500 in bitcoins.
