Ransomware-as-a Service

Sodin wird als Exploit Baukasten über ein „Partnerprogramm“ verbreitet.

Die Entwickler haben den Code so gestaltet, dass sie bestimmen können wie die Ransomware verbreitet wird und auch die Möglichkeit integriert, entsprechende „Malware-Distributoren“ explizit ein- bzw. auszuschließen. Zusätzlich können die Entwickler durch einen Hauptschlüssel verschlüsselte Daten von Opfern selektiv entschlüsseln ohne, dass dies von Betroffenen oder Partnern bemerkt werden kann.

Die Ransomware Sodin macht sich die bereits in 2018 entdeckte Schwachstelle CVE-2018-8453 in Microsoft Windows zu Nutze und erweitert dadurch seine Berechtigungen auf den betroffenen Systemen. In der Folge nutzt Sodin die Architektur Central Processing Unit (CPU) und die „Heaven’s Gate“ Technik um seine Erkennung zu vermeiden. Neu ist, dass zur Installation keine Aktion der User, also z.B. das Öffnen von Dateien oder Anklicken eines Links erforderlich ist.

Die Anfälligkeit wurde bereits im August 2018 von Kaspersky an Microsoft gemeldet und im Oktober durch einen Sicherheitspatch von Microsoft geschlossen. Laut Kaspersky ist der Exploit Code „von hoher Qualität“ und so geschrieben dass er bei sehr vielen Windows Builds einschließlich Windows 10 RS4 funktioniert. Zunächst sind nur Angriffe im asiatischen Raum entdeckt worden. Seit kurzem treibt die Ransomware aber auch in Europa Ihr Unwesen.

FAZIT: Wir empfehlen die installierten Betriebssysteme und Applikationen regelmäßig durch Patch-Management zu aktualisieren. In diesem Fall gibt es einen Patch gegen CVE-2018-8453 bereits seit Oktober 2018. Außerdem muss eine entsprechende Anti-Malware bzw. Endpoint-Security Lösung installiert und up-to-date sein.

Links zum Beitrag:
Microsoft Hinweis zu CVE-2018-8453
Kaspersky Hinweis zu Sodin Ransomware