Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Sodin-malware misbruikt Windows

07 augustus 2019 - 08:123 minuten leestijdActueelSecurity & AwarenessKaspersky Lab
Frederic Petitjean
Frederic Petitjean

Beveiliger Kaspersky heeft een nieuw soort ransomwareontdekt, Sodin gedoopt, die van een zero day-lek in Windows gebruikmaakt. Daarmee worden meer toegangsrechten verkregen voor geïnfecteerde systemen. Om detectie te voorkomen, maakt Sodin gebruik van de cpu-architectuur. En dat komt niet vaak voor bij ransomware.

Sodin-malware lijkt onderdeel te zijn van een RaaS-scenario (ransomware-as-a-service). Dat betekent dat distributeurs vrijelijk kunnen kiezen op welke manier de encryptor zich verspreidt. Er zijn aanwijzingen dat de malware wordt verspreid via online verkoop van partnerprogramma’s. De ontwikkelaars hebben bijvoorbeeld gaten in de functionaliteit van de malware achtergelaten. Daarmee kunnen ze bestanden decoderen zonder dat het slachtoffer erachter komt. Een ‘masterkey’ zorgt ervoor, dat er geen distributeurssleutel nodig is voor decodering. Normaliter worden de bestanden van slachtoffers die hebben betaald gedecodeerd met zo’n distributiesleutel. Ontwikkelaars kunnen deze functie gebruiken om decryptie van data of de distributie van de ransomware te regelen, bijvoorbeeld door bepaalde distributeurs uit het aangesloten programma te verwijderen en zo de malware onbruikbaar te maken.

Geen interactie

Doorgaans vereist ransomware enige vorm van gebruikersinteractie zoals het openen van een bijlage bij een e-mailbericht of het aanklikken van een kwaadaardige link. Wat opvalt, is dat de Sodin-aanvallers dat niet nodig hebben. In de meeste gevallen hebben ze kwetsbare servers gevonden en sturen ze een commando om een kwaadaardig bestand met de naam ‘radm.exe’ te downloaden. Via dit commando wordt de ransomware vervolgens op een lokale computer opgeslagen en uitgevoerd.

Detectie van Sodin wordt nog moeilijker omdat ook de ‘Heaven’s Gate’-techniek wordt toegepast. Daarmee kan een kwaadaardig programma 64-bits code uitvoeren vanuit een 32-bits actief proces. Dat is niet gebruikelijk en komt bijna nooit voor in ransomware. Kaspersky-onderzoekers vermoeden dat de Heaven’s Gate-techniek wordt ingezet om de analyse van de kwaadaardige code moeilijker te maken. Niet alle ‘debuggers’ (code-onderzoekprogramma’s) zijn bekend met deze techniek en herkennen hem derhalve niet.

Op dezelfde manier kan zo ook emulatie-gebaseerde detectie door geïnstalleerde beveiligingsoplossingen ontweken worden. Dat is een methode die bedoeld is voor het ontdekken van nog onbekende dreigingen waarbij code wordt gestart die verdacht gedrag vertoont in een virtuele omgeving.

Investering terugverdienen

‘Ransomware is inmiddels een zeer populaire vorm van malware. Echter, zo´n uitgebreide en verfijnde variant als Sodin komen we niet vaak tegen’, zegt Jornt van der Wiel, security-expert bij Kaspersky. ‘De cpu-architectuur gebruiken om onder de radar te blijven, is geen gangbare praktijk voor encryptors. Er komt bovendien heel wat bij kijken om dergelijke malware te bouwen. Daarmee is het waarschijnlijk dat aanvallen met Sodin-encryptie toe gaan nemen. De ontwikkelaars willen natuurlijk hun investeringen terugverdienen.’

De meeste doelwitten van Sodin zijn aangetroffen in de Aziatische regio: 17,6 procent van de aanvallen is gedetecteerd in Taiwan, 9,8 procent in Hong Kong en 8,8 procent in Korea. Er zijn ook aanvallen waargenomen in Europa, Noord-Amerika en Latijns-Amerika. De ‘losgeldbrief’ die wordt achtergelaten op geïnfecteerde pc’s eist van elk slachtoffer 2500 dollar, te betalen in bitcoins.

Meer over

ArchitectuurBesturingssystemenEmulatieEncryptieMalwarePhishingProcessoren

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    ActueelOverheid

    Kaspersky snapt overheidsban nog steeds niet

    ActueelInnovatie & Transformatie

    D66 wil weten of overheid nog Kaspersky gebruikt

    Aanpakken cybercrime
    ActueelCloud & Infrastructuur

    Kaspersky en Interpol trekken weer samen ten strijde

    Nieuw logo
    ActueelSecurity & Awareness

    Nieuw logo en merkstrategie voor Kaspersky

    Het Albeda College migreert snel naar Windows 10
    ActueelSecurity & Awareness

    Microsoft patcht Windows-backdoor na tip Kaspersky

    ActueelOverheid

    ‘Securityoplossingen Kaspersky zijn veilig’

    2 reacties op “Sodin-malware misbruikt Windows”

    1. R.J. Tuijnman schreef:
      7 augustus 2019 om 11:07

      Wat maakt dat een server ‘kwetsbaar’ is of niet?

      Login om te reageren
    2. Jan Vanden Bossche schreef:
      8 augustus 2019 om 12:50

      Niet dat het onkwetsbaar is, maar ik ben blij dat ik mijn werkmachine onder Linux draai …

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs