Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Poniedziałek, 09 grudnia 2019
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (46919)
AGD (207)
Biznes (4893)
Budownictwo (2136)
Dom (1538)
Dziecko (1244)
Edukacja (1805)
Elektronika (953)
Film (116)
Finanse (1746)
Internet (2859)
Komputery (2386)
Książki (216)
Kulinaria (989)
Kultura i sztuka (1220)
Media (613)
Moda i Styl (1004)
Motoryzacja (1158)
Muzyka (263)
Nieruchomości (1008)
Ogród (147)
Oprogramowanie (2344)
Polityka (368)
Praca i kariera (970)
Prawo (927)
Reklama i PR (976)
RTV (196)
Sport (836)
Telekomunikacja (522)
Turystyka (1192)
Transport (513)
Uroda (513)
Wnętrze (818)
Zdrowie (1683)
Zwierzęta (82)
Życie (1369)
Inne (2662)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1623)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (100)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

InfoON


silk.pl


Lepszypoznan.pl


Jedź Bezpiecznie


www.szybkajazda.pl


 
KOMUNIKATY TEKSTOWE

Sodin: nowe oprogramowanie ransomware wykorzystuje niebezpieczną lukę Windows
Dodano: 04.07.2019, godzina: 08:37
Sodin: nowe oprogramowanie ransomware wykorzystuje niebezpieczną lukę Windows
Badacze z firmy Kaspersky wykryli nowe oprogramowanie ransomware o nazwie Sodin, które wykorzystuje zidentyfikowaną niedawno lukę dnia zerowego w zabezpieczeniach systemu Windows w celu zwiększenia poziomu uprawnień w zainfekowanym systemie oraz architekturę procesora w celu uniknięcia wykrycia.
Ponadto, w niektórych przypadkach szkodnik nie wymaga interakcji użytkownika i zostaje po prostu zainstalowany w podatnych na ataki serwerach przez cyberprzestępców.

Oprogramowanie ransomware – szyfrujące dane lub blokujące dostęp do urządzeń wraz z żądaniem okupu – to od dawna znane cyberzagrożenie, którego ofiarą mogą paść konsumenci oraz organizacje dowolnych rozmiarów na całym świecie. Większość rozwiązań bezpieczeństwa wykrywa dobrze znane wersje i wektory takich ataków. Jednak szkodniki stosujące zaawansowane podejście, takie jak Sodin, który wykorzystuje wykrytą niedawno lukę dnia zerowego w systemie Windows (CVE-2018-8453) w celu podniesienia poziomu uprawnień, mogą przez długi czas nie wzbudzać żadnych podejrzeń.    

Wygląda na to, że Sodin jest częścią schematu RaaS (Ransomware as a Service), w ramach którego mniej doświadczeni cyberprzestępcy wynajmują określony szkodliwy kod od bardziej zaawansowanych cybergangów. To oznacza, że jego dystrybutorzy mogą dowolnie wybierać sposób rozprzestrzeniania modułu szyfrującego. Pewne wskazówki sugerują, że szkodnik ten jest rozprzestrzeniany za pośrednictwem programu afiliacyjnego. Na przykład, twórcy szkodnika pozostawili w jego funkcjonalności „furtkę”, która pozwala im odszyfrować pliki bez wiedzy swoich partnerów: jest to „klucz główny”, który nie wymaga klucza dystrybutora w celu odszyfrowania (zwykle to klucze dystrybutora są wykorzystywane do odszyfrowania plików ofiar, które zapłaciły okup). Funkcja ta może być wykorzystywana przez twórców w celu kontrolowania odszyfrowywania danych ofiar lub dystrybucji oprogramowania ransomware poprzez np. wykluczenie określonych dystrybutorów z programu afiliacyjnego przez uczynienie szkodnika bezużytecznym.         

Oprogramowanie ransomware wymaga zwykle jakiejś formy interakcji z użytkownikiem – np. otwarcia załącznika do wiadomości e-mail czy kliknięcia szkodliwego odsyłacza. Cyberprzestępcy stojący za szkodnikiem Sodin nie potrzebowali takiej pomocy: w większości przypadków znajdowali podatny na ataki serwer i wysyłali polecenie pobrania szkodliwego pliku o nazwie „radm.exe”. Ten następnie zapisywał oprogramowanie ransomware lokalnie i wykonywał je.   

Większość celów oprogramowania Sodin znajdowało się w regionie azjatyckim: 17,6% ataków zostało wykrytych w Tajwanie, 9,8% w Hongkongu, a 8,8% w Republice Korei. Niemniej jednak ataki zaobserwowano również w Europie, Ameryce Północnej oraz Łacińskiej. Szkodnik pozostawiał na zainfekowanych komputerach żądanie okupu w wysokości około 9,5 tysięcy zł walucie bitcoin.        

Wykrycie szkodnika Sodin utrudnia dodatkowo wykorzystywanie przez niego techniki „Heaven’s Gate”. Pozwala ona szkodnikowi wykonać kod 64-bitowy z procesu 32-bitowego, co nie jest powszechną praktyką i nieczęsto występuje w oprogramowaniu ransomware. 

Badacze uważają, że technika Heaven’s Gate jest wykorzystywana w oprogramowaniu Sodin głównie z dwóch powodów:

  • Aby utrudnić analizę szkodliwego kodu: nie wszystkie debuggery (programy służące do badania kodu) obsługują tę technikę, a co za tym idzie — potrafią ją rozpoznać.
  • Aby uniknąć wykrycia przez zainstalowane rozwiązania bezpieczeństwa: technika ta jest stosowana w celu uniemożliwienia wykrycia opartego na emulacji — metody wykrywania nieznanych wcześniej zagrożeń polegającej na uruchomieniu podejrzanie zachowującego się kodu w środowisku wirtualnym, które przypomina (emuluje) rzeczywisty komputer. 

Chociaż oprogramowanie ransomware to niezwykle popularny rodzaj szkodliwego oprogramowania, nieczęsto można spotykać tak rozbudowaną i zaawansowaną wersję: wykorzystywanie architektury procesora w celu uniknięcia wykrycia to rzadko stosowana praktyka wśród szkodliwych programów szyfrujących. Spodziewamy się wzrostu liczby ataków z udziałem szkodnika Sodin, ponieważ stworzenie go wymagało ogromnych zasobów. Ci, którzy zainwestowali w rozwój szkodnika, z pewnością oczekują zwrotu z inwestycji – powiedział Fiedor Sinicyn, badacz ds. cyberbezpieczeństwa w firmie Kaspersky. 

Rozwiązania bezpieczeństwa firmy Kaspersky wykrywają opisywane oprogramowanie ransomware pod nazwą Trojan-Ransom.Win32.Sodin. Przy pomocy technologii firmy Kaspersky ustalono, że wykorzystywana przez szkodnika luka CVE-2018-8453 była wcześniej prawdopodobnie stosowana przez ugrupowanie hakerskie FruityArmor. Luka została załatana 10 października 2018 r.

Porady bezpieczeństwa

Badacze z firmy Kaspersky zalecają firmom następujące działania w celu zabezpieczenia się przed szkodliwym oprogramowaniem Sodin:

  • Dopilnuj, aby oprogramowanie wykorzystywane w Twojej firmie było regularnie aktualizowane do najnowszej wersji. W automatyzacji tych procesów mogą pomóc produkty zabezpieczające posiadające funkcje oceny luk w zabezpieczeniach oraz zarządzania łatami.
  • Korzystaj z niezawodnego rozwiązania zabezpieczającego, takiego jak Kaspersky Endpoint Security for Business, które jest wyposażone w możliwości wykrywania opartego na zachowaniu w celu zapewnienia skutecznej ochrony przed znanymi i nieznanymi zagrożeniami, łącznie z exploitami.

Szczegóły techniczne dotyczące szkodliwego programu Sodin są dostępne na stronie https://r.kaspersky.pl/4UGpD.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Pliki komunikatu:
Pliki galerii:
Tagi: kaspersky

KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 18 + 10:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Firma Kaspersky uzyskała tytuł „Strong Performer” w ocenie rozwiązań bezpieczeństwa chmuryFirma Kaspersky uzyskała tytuł „Strong Performer” w ocenie rozwiązań bezpieczeństwa chmury
Połowa rodziców oczekuje od dzieci, że będą w stanie regulować czas spędzany onlinePołowa rodziców oczekuje od dzieci, że będą w stanie regulować czas spędzany online
Zagrożenia finansowe w 2020 r. wg firmy KasperskyZagrożenia finansowe w 2020 r. wg firmy Kaspersky
Firma Kaspersky zdobyła wyróżnienie Gartner Peer Insights Customers' ChoiceFirma Kaspersky zdobyła wyróżnienie Gartner Peer Insights Customers' Choice
Kaspersky i projektant biżuterii zabezpieczają unikatowe dane biometryczne w świecie cyfrowymKaspersky i projektant biżuterii zabezpieczają unikatowe dane biometryczne w świecie cyfrowym
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Firma Kaspersky uzyskała tytuł „Strong Performer” w ocenie rozwiązań bezpieczeństwa chmury
 
Połowa rodziców oczekuje od dzieci, że będą w stanie regulować czas spędzany online
 
Zagrożenia finansowe w 2020 r. wg firmy Kaspersky
 
Firma Kaspersky zdobyła wyróżnienie Gartner Peer Insights Customers' Choice
 
Kaspersky i projektant biżuterii zabezpieczają unikatowe dane biometryczne w świecie cyfrowym