Ransomware-as-a Service

04.
Jul
2019
CVE-2018-8453, Patch-Management, Ransomware, Windows Sicherheitslücke

Sodin: Erste „sich-selbst-installierende“ Ransomware!
Die neue Ransomware Sodin nutzt „alte“ Sicherheitslücke in Windows und benötigt keine User-Interaktion!

Unglaublich aber wahr:

Sodin wird als Exploit Baukasten über ein „Partnerprogramm“ verbreitet.

Die Entwickler haben den Code so gestaltet, dass sie bestimmen können wie die Ransomware verbreitet wird und auch die Möglichkeit integriert, entsprechende „Malware-Distributoren“ explizit ein- bzw. auszuschließen. Zusätzlich können die Entwickler durch einen Hauptschlüssel verschlüsselte Daten von Opfern selektiv entschlüsseln ohne, dass dies von Betroffenen oder Partnern bemerkt werden kann.

Die Ransomware Sodin macht sich die bereits in 2018 entdeckte Schwachstelle CVE-2018-8453 in Microsoft Windows zu Nutze und erweitert dadurch seine Berechtigungen auf den betroffenen Systemen. In der Folge nutzt Sodin die Architektur Central Processing Unit (CPU) und die „Heaven’s Gate“ Technik um seine Erkennung zu vermeiden. Neu ist, dass zur Installation keine Aktion der User, also z.B. das Öffnen von Dateien oder Anklicken eines Links erforderlich ist.

Die Anfälligkeit wurde bereits im August 2018 von Kaspersky an Microsoft gemeldet und im Oktober durch einen Sicherheitspatch von Microsoft geschlossen. Laut Kaspersky ist der Exploit Code „von hoher Qualität“ und so geschrieben dass er bei sehr vielen Windows Builds einschließlich Windows 10 RS4 funktioniert. Zunächst sind nur Angriffe im asiatischen Raum entdeckt worden. Seit kurzem treibt die Ransomware aber auch in Europa Ihr Unwesen.

FAZIT: Wir empfehlen die installierten Betriebssysteme und Applikationen regelmäßig durch Patch-Management zu aktualisieren. In diesem Fall gibt es einen Patch gegen CVE-2018-8453 bereits seit Oktober 2018. Außerdem muss eine entsprechende Anti-Malware bzw. Endpoint-Security Lösung installiert und up-to-date sein.

Links zum Beitrag:
Microsoft Hinweis zu CVE-2018-8453
Kaspersky Hinweis zu Sodin Ransomware

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This