+49 (0) 8171/405-0 info@proSoft.de

Ransomware-as-a Service

04.
Jul
2019
CVE-2018-8453, Patch-Management, Ransomware, Windows Sicherheitslücke

Sodin: Erste „sich-selbst-installierende“ Ransomware!
Die neue Ransomware Sodin nutzt „alte“ Sicherheitslücke in Windows und benötigt keine User-Interaktion!

Unglaublich aber wahr:

Sodin wird als Exploit Baukasten über ein „Partnerprogramm“ verbreitet.

Die Entwickler haben den Code so gestaltet, dass sie bestimmen können wie die Ransomware verbreitet wird und auch die Möglichkeit integriert, entsprechende „Malware-Distributoren“ explizit ein- bzw. auszuschließen. Zusätzlich können die Entwickler durch einen Hauptschlüssel verschlüsselte Daten von Opfern selektiv entschlüsseln ohne, dass dies von Betroffenen oder Partnern bemerkt werden kann.

Die Ransomware Sodin macht sich die bereits in 2018 entdeckte Schwachstelle CVE-2018-8453 in Microsoft Windows zu Nutze und erweitert dadurch seine Berechtigungen auf den betroffenen Systemen. In der Folge nutzt Sodin die Architektur Central Processing Unit (CPU) und die „Heaven’s Gate“ Technik um seine Erkennung zu vermeiden. Neu ist, dass zur Installation keine Aktion der User, also z.B. das Öffnen von Dateien oder Anklicken eines Links erforderlich ist.

Die Anfälligkeit wurde bereits im August 2018 von Kaspersky an Microsoft gemeldet und im Oktober durch einen Sicherheitspatch von Microsoft geschlossen. Laut Kaspersky ist der Exploit Code „von hoher Qualität“ und so geschrieben dass er bei sehr vielen Windows Builds einschließlich Windows 10 RS4 funktioniert. Zunächst sind nur Angriffe im asiatischen Raum entdeckt worden. Seit kurzem treibt die Ransomware aber auch in Europa Ihr Unwesen.

FAZIT: Wir empfehlen die installierten Betriebssysteme und Applikationen regelmäßig durch Patch-Management zu aktualisieren. In diesem Fall gibt es einen Patch gegen CVE-2018-8453 bereits seit Oktober 2018. Außerdem muss eine entsprechende Anti-Malware bzw. Endpoint-Security Lösung installiert und up-to-date sein.

Links zum Beitrag:
Microsoft Hinweis zu CVE-2018-8453
Kaspersky Hinweis zu Sodin Ransomware

Potenziell #Backdoor Lücke bei #Cisco gepatcht. https://t.co/TQ3sFXTqZK
@safetogo_de: Die verschlüsselten USB-Sticks #SafeToGo 302E und SafeToGo Solo sind jetzt auch kompatibel zur #macOS Version Ventura. https://t.co/uaOTOjw64r https://t.co/Ht2irhj2P5
#dell schließt Schadcode-Schlupfloch im BIOS mehrerer PC-Modelle https://t.co/imkTREUgf2 https://t.co/ob641j3yDJ
Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This