O ransomware Sodin, que explora uma vulnerabilidade zero-day do Windows, foi detectado na América Latina. Ao infectar um computador, o código malicioso criptografa os arquivos do usuário e pede nada menos que US$ 2.500 em Bitcoin para a liberação. De acordo com a empresa de segurança Kaspersky, os ataques têm como alvo a região asiática, mas também já foram identificados na Europa e na América do Norte.
Segundo pesquisadores da empresa, o ransomware obtém privilégios de administrador assim que infecta um PC com Windows. Além disso, ele usa a arquitetura da CPU para evitar sua detecção, uma funcionalidade pouco comum em ransomwares. A Kaspersky ainda afirma que sua identificação é dificultada por causa de uma técnica chamada “Heaven’s Gate”: ela permite que um programa mal-intencionado execute código de 64 bits de um processo em execução de 32 bits, o que é ainda mais raro nestes casos.
Outra característica preocupante do Sodin é a forma de infecção. Geralmente, este tipo de ameaça requer alguma forma de interação com o usuário – como abrir um anexo enviado por e-mail ou clicar em um link malicioso. Não à toa, é muito comum a prática de phishing para realizar ataques cibernéticos, induzindo pessoas ao download de um malware através de links falsos. No
Os invasores que usaram o Sodin não precisaram de tal ajuda. Eles só tiveram que encontrar um servidor vulnerável para, então, enviar um comando com ordem para baixar o arquivo malicioso chamado “radm.exe” e executá-lo.
Como evitar estes ataques?
A Kaspersky nota que ataques com ransomware têm mudado de cara nos últimos anos. Apesar de uma redução no número total de ataques, os cibercriminosos têm escolhido melhor seus alvos, levando em conta o potencial de retorno do golpe. Assim, menos infecções são registradas, mas os danos causados têm sido maiores, já que os hackers miram grandes instituições e empresas que possam pagar o resgate exigido para desbloquear o dispositivo infectado.
“Este foco em organizações tem como objetivo deixá-las sem sistema por bastante tempo, causando prejuízos consideráveis, o que, por sua vez, tem levado os hackers a utilizarem técnicas cada vez mais avançadas, como é caso do Sodin”, avalia Fabio Assolini, analista da Kaspersky no Brasil.
A Kaspersky não revelou quais países da América Latina, América do Norte e Europa teriam sido atingidos. No total, 17,6% dos ataques foram detectados em Taiwan, 9,8% em Hong Kong e 8,8% na Coreia do Sul.