Exploits de ransomware Sodinokibi Windows Error para elevar privilegios

Exploits de ransomware Sodinokibi Windows Error para elevar privilegios
4.8 (96.47%) 17 votos

El ransomware Sodinokibi busca aumentar sus privilegios en una máquina víctima mediante la explotación de una vulnerabilidad en el componente Win32k presente en Windows 7 a través de 10 ediciones del servidor.

El malware de cifrado de archivos entró en el centro de atención en abril cuando comenzó a explotar una vulnerabilidad crítica en Oracle WebLogic.

Propagación global

Sodinokibi, tambi√©n conocido como REvil, tambi√©n explota CVE-2018-8453, seg√ļn descubrieron los investigadores de seguridad, una vulnerabilidad descubierta e informada por Kaspersky, que Microsoft parcheado en octubre de 2018.

Kaspersky usa el nombre Sodin para referirse a esta variedad de datos de ransomware y telemetr√≠a que muestran detecciones en peque√Īas √°reas del mundo, la mayor√≠a de ellas registradas en la regi√≥n de Asia y el Pac√≠fico: Taiw√°n (17,56%), Hong Kong y Corea del Sur (8.78%).

Otros pa√≠ses donde se detect√≥ Sodinokibi son Jap√≥n (80,05%), Alemania (80,05%), Italia (5.12%), Espa√Īa (4.88%), Vietnam (2.93), los EE. UU. (2.44%) y Malasia (2.20%).

en un análisis técnico El miércoles, Kaspersky detalla cómo el malware logra los privilegios del SISTEMA y describe cómo funciona.

"Almacenado en forma encriptada en el cuerpo de cada muestra de Sodin hay un bloque de configuración que contiene la configuración y los datos necesarios para que funcione el troyano".

El c√≥digo de configuraci√≥n incluye campos para la clave p√ļblica, n√ļmeros de identificaci√≥n para la campa√Īa y el distribuidor, para sobrescribir datos, extensiones de archivo que no deben encriptarse, nombres de los procesos que debe eliminar, ordenar y controlar las direcciones del servidor, plantilla de nota de rescate y uno para usar un exploit para obtener mayores privilegios en la m√°quina.

Recomendamos:  MarvelLos Avengers se lanzar√°n el 15 de mayo de 2020, Beta Out para PS4 primero

Dos encriptaciones separadas para la clave privada

La muestra de Sodinokibi analizada por Kaspersky utiliza un esquema híbrido para cifrar datos, lo que significa que aplica cifrado simétrico (Salsa20) para los archivos y cifrado asimétrico de curva elíptica para las claves.

Los investigadores descubrieron que el ransomware almacena en el registro tanto la clave p√ļblica, que cifra los datos, como la clave privada para descifrar los archivos.

"Cuando se inicia, el troyano genera un nuevo par de claves de sesi√≥n de curva el√≠ptica; la clave p√ļblica de este par se guarda en el registro con el nombre pk_key, mientras que la clave privada se cifra utilizando el algoritmo ECIES con la clave sub_key y se almacena en el registro bajo el nombre sk_key ".

Una peculiaridad notada por los investigadores es que la clave privada tambi√©n est√° encriptada con una segunda clave p√ļblica, que est√° codificada en el malware; El resultado tambi√©n se guarda en el registro.

Los autores de malware pueden haber hecho esto a propósito, por lo que también pueden descifrar los datos, no solo el operador que difunde Sodinokibi. Podría ser una precaución si el distribuidor desaparece, o una forma de obtener una mayor reducción de las ganancias.

Después de cifrar los archivos, Sodinokibi agrega una extensión aleatoria que es diferente para cada computadora que infecta. Tanto la clave como la extensión deben ingresarse en un sitio web creado por los ciberdelincuentes específicamente para mostrar a las víctimas cuánto tienen que pagar para recuperar sus archivos.

El malware discrimina entre objetivos y termina en computadoras con dise√Īos de teclado espec√≠ficos para ciertos pa√≠ses: Rusia, Ucrania, Bielorrusia, Tayikist√°n, Armenia, Azerbaiy√°n, Georgia, Kazajst√°n, Kirguist√°n, Turkmenist√°n, Moldavia, Uzbekist√°n y Siria.

Recomendamos:  ‚Ė∑ Microsoft renombra Windows Defensor, lo trae a la Mac.

Dej√°nos tus Comentarios: