Egy új, szokatlan terjesztési jellemzőkkel bíró zsarolóvírus a Windows veszélyes sérülékenységét használja ki

Új titkosító zsarolóvírust azonosítottak a Kaspersky szakemberei. A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nem gyakran látni a zsarolóvírusoknál. Sőt, bizonyos esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken.

Egy új, szokatlan terjesztési jellemzőkkel bíró zsarolóvírus a Windows veszélyes sérülékenységét használja ki

A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása egy tartós kiberfenyegetés, amely a magánszemélyeket és a különféle méretű szervezeteket egyaránt érinti világszerte. A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek azonban – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét (CVE-2018-8453) kiaknázva jogosultságokat eszkaláló Sodin által alkalmazott eljárás – képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik. A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól). E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek – például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.

A Sodin zsarolóvírus legtöbb célpontja az ázsiai térségben volt: a támadások 17,6%-át Tajvanon, 9,8%-át Hongkongban, 8,8%-át pedig a Koreai Köztársaságban észlelték. Azonban Európában, Észak-Amerikában és Latin-Amerikában is figyeltek meg támadásokat. A fertőzött számítógépeken hagyott zsarolóvírus-üzenetben 2500 USD értékű Bitcoint követelnek minden áldozattól.

Ami még nehezebbé teszi a Sodin felfedezését, az az úgynevezett „mennyország kapuja” technika alkalmazása. Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A szakemberek véleménye szerint a Sodinnál az alábbi két fő ok miatt alkalmazzák a mennyország kapuja technikát:

Hogy megnehezítsék a rosszindulatú kód elemzését: nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel.

Hogy elkerüljék a kód telepített biztonsági megoldások általi észlelését. Ezzel a technikával megkerülhető az emuláció-alapú észlelés, vagyis a korábban ismeretlen fenyegetések feltárására használt módszer, amelynek lényege egy gyanúsan viselkedő kód elindítása egy valódi számítógépet utánzó (emuláló) virtuális környezetben.


„Bár a zsarolóvírus a rosszindulatú programok igen népszerű típusa, mégsem gyakori, hogy ilyen kidolgozott és kifinomult verzióval találkozzunk: nem általános gyakorlat, hogy a titkosító vírusok a CPU-architecktúrát kihasználva észrevétlenek maradnak. A Sodin titkosító vírust használó támadások számában véleményünk szerint növekedés várható, mivel egy ilyen típusú rosszindulatú program létrehozásához jelentős mennyiségű erőforrás szükséges.  Ezért azok, akik befektettek a program fejlesztésébe, nyilvánvalóan azt várják, hogy befektetésük busásan megtérüljön.” – mondta Fjodor Szinicin, a Kaspersky biztonsági kutatója.


A Kaspersky biztonsági megoldásai Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. A zsarolóvírus által kihasznált CVE-2018-8453 sérülékenységet korábban a Kaspersky technológiája észlelte élesben, egy támadó általi használat közben, akiről a kutatók úgy gondolják, hogy a FruityArmor hekkercsoport lehetett. A sérülékenységet 2018. október 10-én javították ki.

A Kaspersky szakembereinek ajánlásai szerint a vállalatok a következőképpen kerülhetik el, hogy áldozatul essenek a Sodin jelentette fenyegetésnek:

Gondoskodjanak a vállalatnál használt szoftverek rendszeres, legfrissebb verziókra történő frissítéséről. A sérülékenység-felmérő és javításkezelő funkciókkal rendelkező biztonsági termékek segíthetnek ezen folyamatok automatizálásában.
Használjanak hatékony biztonsági megoldást, például a Kaspersky Endpoint Security for Business szoftvert, amely viselkedésalapú észlelési funkciókkal rendelkezik, így hatékony védelmet biztosít az ismert és ismeretlen fenyegetések, többek között az exploitok ellen is.

A teljes jelentés a Securelist.com oldalon olvasható.

Hozzászólások

Hamarosan indul Magyarország legnagyobb informatikai versenye

Hamarosan indul Magyarország legnagyobb online informatikai versenye, az idei feladatok a legmodernebb technológiák, így például az önvezető autók szoftvereinek programozása köré épülnek - közölték a szervezők szerdán az MTI-vel.
2019. 08. 22. 03:00
Megosztás:
Hozzászólások:

Okostelefonra költözhetnek az ügyfélszolgálatok

Okostelefonra költözhetnek az ügyfélszolgálatok, az eddig papíron zajló, döntően személyes megjelenést igénylő ügyintézést átterelve a digitális térbe - hívta fel a figyelmet a Netlock hitelesítésszolgáltató közleményében.
2019. 08. 19. 11:00
Megosztás:
Hozzászólások:

Mit mér és mire panaszkodik a magyar netező?

Négyéves a Nemzeti Média- és Hírközlési Hatóság (NMHH) szélessávú szolgáltatásokat összehasonlító portálja, a Szélessáv.net, amely az elmúlt egy évben 211 kihelyezett mérőeszközzel több mint 1,3 millió mérést végzett el. Ezzel kapcsolatban a hatóság egy reprezentatív felméréséből az is kiderült, hogy 2018-ban az internetezők – 58 százaléka – leginkább az otthoni internetes telefonálásra panaszkodott, amit a videotelefonálásra (56%) és az online filmnézésre (52%) vonatkozó elégedetlenség követett.
2019. 08. 16. 14:00
Megosztás:
Hozzászólások:

Érik a fordulat az Nvidia-nál

Helyesen becsülhette meg az Nvidia menedzsmentje azt, hogy az idei év második felére nagyjából leépülnek az addicionális készletek a videokártyák piacán - olvashatjuk az ERSTE elemzői anyagában.
2019. 08. 16. 13:00
Megosztás:
Hozzászólások:

Öt tipp a dán robotikai szektortól, melyekkel 2025-re 25.000 új munkahely teremthető

Az elmúlt húsz évben Dánia a világvezetővé nőtte ki magát a robotika terén. A legfrissebb adatok komoly lehetőséget mutatnak a jövőbeni növekedésre, az export és a foglalkoztatás élénkülésére a dán robotikai iparban. A robotipar természetesen élni akar a lehetőséggel, és ezért öt javaslatot fogalmazott meg az újonnan megválasztott dán parlament számára a potenciál kiaknázására.
2019. 08. 16. 09:00
Megosztás:
Hozzászólások:

Áremelés jöhet a Lenovónál

A Lenovo kínai számítástechnikai konszern elnöke figyelmeztetett csütörtökön, hogy áremelésre kényszerülnek, ha az Egyesült Államok növeli a kínai importtermékek vámtarifáit.
2019. 08. 16. 05:00
Megosztás:
Hozzászólások:

Több mint egymillió felhasználó biometrikus adatai szivárogtak ki

David Emm, a Kaspersky biztonsági kutatója a következőképpen nyilatkozott a hírrel kapcsolatban:
2019. 08. 16. 01:00
Megosztás:
Hozzászólások:

Milyen csapdákat és kiutakat tartogat a digitalizáció útvesztője?

A digitalizáció évek óta a cégek fejlesztési törekvéseinek egyik kiemelt területe: bár a forradalom Magyarországra is elért, a megvalósítás kevés vállalatnál megy gördülékenyen. Vitathatatlan a témában rejlő lehetőségek sokasága, amely képes új üzleti lehetőségeket szerezni és feloldani a merev vállalati kereteket, ugyanakkor fennáll a veszély, hogy az átállás ideje alatt a megszokottnál nagyobb kavarodás alakul ki a működésben. Bejegyzésünkben megvizsgáljuk, hogyan lehet hatékonyan kezelni ezeket a helyzeteket.
2019. 08. 09. 08:30
Megosztás:
Hozzászólások:

Hekkerek törtek be a bolgár adóhivatal szervereire

Nem etikus hekkerek törtek be a bolgár adóhivatal szervereire és loptak el onnan adatokat, a támadásnak akár politikai háttere is lehet - mondta Bársony Péter informatikai biztonsági szakértő (IT) kedden az M1 aktuális csatorna esti műsorában.
2019. 08. 07. 04:30
Megosztás:
Hozzászólások:

Vigyázat, SMS-üzenetekben támadnak a zsarolóvírusok!

Új zsarolóvírus-családot fedeztek fel a szakemberek, amely a névjegyzékben szereplő embereknek küld rosszindulatú linkeket SMS-ben - hívták fel a figyelmet az ESET IT-biztonsági szakemberei.
2019. 08. 04. 11:30
Megosztás:
Hozzászólások:

Ne akadj horogra! – Intő jelek, hogy adathalásszal van dolgod

A nyári hónapokban fokozottan érdemes figyelni az adathalász kísérletekre, hiszen ebben az időszakban megsokszorozódhatnak ezek az esetek. Elég csak a repülőjegy társaságok honlapjait hamisító oldalakra, és az egyéb gyanús kedvezményekkel kecsegtető e-mailekre gondolni. Ha bedőlünk a csalóknak, adataink mellett pénztárcánk is bánhatja az esetet. Az OTP Mobil szakértői összegyűjtötték azokat a figyelmeztető jeleket, amelyekből kiderülhet, hogy áloldalra tévedtünk.
2019. 07. 31. 04:05
Megosztás:
Hozzászólások:

Rangos nemzetközi elismerések az új hibrid switch eszközöknek

A Zyxel NebulaFlex switch sorozatában megjelenő, két kezelési módot is támogató GS1920v2 és XGS1930 is pozitív fogadtatásban részesült a meghatározó amerikai és orosz szaklapoktól.
2019. 07. 30. 05:00
Megosztás:
Hozzászólások:

Új mesterségesintelligencia-központot nyit a Bosch

A Bosch bővíti tevékenységét a mesterségesintelligencia-kutatásának terén: a technológiák és szolgáltatások szállítója Tübingenben, a német Cyber Valley régiójában megközelítőleg 35 millió eurót fog befektetni az új „Bosch AI Campus” létrehozásába. A Bosch jelenleg tárgyal Tübingen városával a campus felépítésére szolgáló mintegy 12 000 négyzetméternyi terület megvásárlásáról. Az új kutatási komplexumba, amelyben megközelítőleg 700 szakértő foglalkozik majd alkalmazott mesterséges intelligenciával, 2022 végén költözik a vállalat. „A Bosch célja, hogy a globális vezetők közé tartozzon az ipari AI-kutatás területén” – mondta a Bosch digitális és technológiai igazgatója, az igazgatótanács tagja, Dr. Michael Bolle. „Az új Bosch AI Campus egy lépéssel közelebb visz minket e cél eléréséhez.”
2019. 07. 24. 06:30
Megosztás:
Hozzászólások:

Magyarország is részt vesz a világ egyik legnagyobb kapacitású szuperszámítógépének építésében

Magyarország is részt vesz abban az olasz vezetésű konzorciumban, amely Bolognában hozza létre a világ egyik legnagyobb kapacitású szuperszámítógépét 2020 közepéig - közölte az Innovációs és Technológiai Minisztérium (ITM) hétfőn az MTI-vel.
2019. 07. 23. 08:00
Megosztás:
Hozzászólások:

Ne csak a FaceApp miatt aggódjunk!

Számtalan cikk jelent meg a napokban arról, hogy a FaceApp-al vigyázni kell; ugyanis a felhasználói szerződés értelmében az applikáció teljeskörű kontrollt szerezhet a készüléken lévő fotóink felett. (Sophos kommentár)
2019. 07. 23. 05:30
Megosztás:
Hozzászólások:

Mit mond rólad a digitális profilod?

A megfelelő tanulmányok és szakmai gyakorlat elengedhetetlen a kívánt állás megszerzéséhez, azonban ma már nem biztos, hogy csupán ezek elegendőek is. Napjainkban egyre fontosabbá válik az is, hogy meg tudjuk különböztetni magunkat a többi jelölttől: azaz legyen egy jól körülhatárolható, könnyen felismerhető személyes márkánk. Bár ezt sokszor nem tartjuk szem előtt, személyiségünket a legtöbb ember felé online jelenlétünk reprezentálja. A METU szakértői most néhány tippel segítenek abban, hogyan építhetjük tudatosan az énmárkánkat az online térben.
2019. 07. 20. 09:30
Megosztás:
Hozzászólások:

A vállalatok nehezen birkóznak meg a digitális támadásokkal

A hálózati és endpoint védelem ágazatában globális vezető szerepet betöltő Sophos ismertette a The Impossible Puzzle of Cybersecurity felmérésének eredményeit. A felmérés arra mutat rá, hogy az IT menedzsereket elárasztják a minden irányból érkező digitális támadások és nehezen birkóznak meg a helyzettel a biztonsági szakértelem, a költségvetés és a korszerű technológia hiánya miatt. A felmérésben 3100 középvállalkozásokban dolgozó IT döntéshozó vett rész.
2019. 07. 17. 09:00
Megosztás:
Hozzászólások:

Leányvállalatot alapít a 4iG

DOTO Systems Zrt. néven leányvállalatot alapít a 4iG Nyrt. a DOTO System informatikai rendszer kizárólagos fejlesztésére és értékesítésére - közölte a 4iG szerdán az MTI-vel.
2019. 07. 03. 18:30
Megosztás:
Hozzászólások:

Muszáj frissíteni a Windowst!

Nem egészen 5 hónap múlva, november 12-én a nem Enterprise licensszel bíró Windows 10 1803-as (2018 októberi frissítésével) vagy annál korábbi verziójával rendelkező felhasználóknak frissíteniük kell rendszerüket a 1903-as verzióra (2019 májusi frissítés), ellenkező esetben a későbbiekben nem részesülnek a havi biztonsági frissítésekből – hívja fel a figyelmet a Sophos.
2019. 07. 02. 21:00
Megosztás:
Hozzászólások:

A magyar vállalkozások digitális felzárkózását sürgetik

A magyar vállalkozások digitális felzárkózását, korszerű technológiák és alkalmazások használatát sürgették közös csütörtöki sajtótájékoztatójukon Budapesten a Cloudera, a Dell Technologies és a Reach képviselői.
2019. 06. 28. 07:30
Megosztás:
Hozzászólások: