Secondo esperti di Kaspersky Sodinokibi, più comunemente conosciuto con il nome Sodin, attualmente può sfruttare anche la vulnerabilità CVE-2018-8453 per elevare i privilegi in Windows.
Il Sodinokibi Ransomware (aka Sodin, REvil) è apparso nel panorama delle minacce ad aprile, quando i truffatori lo stavano distribuendo sfruttando una vulnerabilità Oracle WebLogic Server recentemente corretta.
Ricordiamo che Microsoft ha già rilasciato l’aggiornamento per la patch della CVE-2018-8453. (link per aggiornamento sistema 10/09/2018 Elevation of Privilege Vulnerability )
Il ransomware di Sodinokibi nel tempo si è evoluto e ad oggi include un nuovo codice per elevare privilegi sui computer target sfruttando una vulnerabilità nel componente Win32k presente sui sistemi operativi Windows 7 fino a 10 ed edizioni Server.
La CVE-2018-8453, che impatta proprio tali sistemi, è stata sfruttata dal gruppo APT conosciuto come FruityArmor, presumibilmente organizzazione controllata da enti para-governativi.
La maggior parte delle infezioni sono state riscontrate nelle regioni: Asia-Pacifico: Taiwan (17,56%), Hong Kong e Corea del Sud (8,78%). Anche altri paesi rientrano tra le vittime dell’attacco, inclusa l’Italia (5,12%), il Giappone (8,05%), la Germania (8,05%), , la Spagna (4,88%), il Vietnam (2,93), gli Stati Uniti (2,44%) e la Malaysia (2,20%).
Per incrementare i privilegi, Sodin sfrutta la vulnerabilità in win32k.sys, quindi esegue due opzioni shellcode contenute nel trojan in base all’architettura del processore. Ogni campione del ransomware Sodin include un blocco di configurazione crittografato, un algoritmo simmetrico (Salsa20) per crittografare i file e una “elliptic curve asymmetric encryption” per le chiavi, il tutto memorizzando impostazioni e i dati utilizzati dal malware.
Il Trojan genera infatti una coppia di chiavi; la chiave pubblica di questa coppia viene salvata nel registro sotto il nome pk_key, mentre la chiave privata viene crittografata usando l’algoritmo ECIES con la chiave subkey e memorizzata nel registro sotto il nome sk_key. ” Anche la chiave privata viene crittografata con una seconda chiave pubblica, che è codificata nel malware e il risultato viene infine salvato nel registro.
Strano a dirsi però il ransomware non crittografa i file con layout di tastiera specifici per alcuni paesi, tra cui Russia, Ucraina, Bielorussia, Tagikistan, Armenia, Azerbaigian, Georgia, Kazakistan, Kirghizistan, Turkmenistan, Moldavia, Uzbekistan e Siria.
