Эксперты нашли в коде серию технических особенностей, направленных на противодействие защитным системам.
Эксперты «Лаборатории Касперского» изучили устройство шифровальщика Sodin, также известного под именами Sodinokibi и REvil. Специалисты предупреждают, что в ближайшем будущем этот сложный Windows-зловред может нанести немалый ущерб, так как он использует нестандартную технику уклонения от анализа и обнаружения.
Первые атаки Sodin были замечены в начале 2019 года. Основная часть зафиксированных инцидентов приходится на Азиатско-Тихоокеанский регион, а именно: Тайвань, Гонконг, Южную Корею. Среди самых громких атак последнего времени — июньский взлом нескольких провайдеров IT-услуг, в результате которого оказалась поражена инфраструктура их заказчиков.
Вымогатель требует от своих жертв 2500 долларов в биткойнах. Страны СНГ и Сирию зловред обходит стороной — функция блокировки в его коде срабатывает при обнаружении определенных раскладок клавиатуры на зараженной машине.
По словам аналитиков, Sodin распространяется через уязвимость CVE-2018-8453 в Oracle Weblogic. В отличие от большинства представителей своего класса зловред использует также уязвимость CVE-2018-8453, чтобы повысить свои привилегии на Windows.
Еще одна особенность шифровальщика: чтобы обойти защитные решения, он использует легитимные функции процессора. Применяемая зловредом техника «Небесные врата» (Heaven’s Gate) позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса, что затрудняет анализ и своевременное обнаружение вредоносного кода.
При шифровании Sodin использует симметричный алгоритм Salsa20, что роднит его с такими вымогателями, как GetCrypt и GandCrab. Приватный ключ для разблокировки данных, в свою очередь, шифруется по алгоритму ECIES, который также встречался в атаках SynAck. Обработанные файлы получают произвольное расширение.
Помимо своей основной задачи, Sodin может отправлять операторам информацию о зараженном компьютере. Эта функция включается дополнительно через соответствующую настройку в файле конфигурации. Для защиты передаваемых данных зловред также использует алгоритм ECIES, ключ к которому вшит в его код.
Исследователи полагают, что этот вымогатель специально разработан для распространения по модели Ransomware-as-a-Service. К этому выводу их подтолкнуло обнаружение в коде мастер-ключа, который возвращает в исходный вид любые зашифрованные Sodin данные. По мнению экспертов, это может быть бэкдор, оставленный разработчиком трояна втайне от его распространителей.
«Вымогатели остаются очень распространенной угрозой, — заключает старший антивирусный эксперт «Лаборатории Касперского» Федор Синицын. — Мы ожидаем всплеск числа атак Sodin, поскольку в его создание было, по-видимому, вложено немало ресурсов и авторы, скорее всего, захотят окупить затраченные усилия».