El 'ransomware' Sodin aprovecha una vulnerabilidad de Windows

Un nuevo ransomware, denominado Sodin, podría explotar una vulnerabilidad de día cero en Windows, según han descubierto analistas de Kaspersky. Éste puede obtener privilegios elevados en un sistema infectado y aprovechar la arquitectura de la Unidad Central de Procesamiento (CPU, en inglés) para evitar su detección, una funcionalidad que no se ve a menudo en este tipo de amenazas. Cabe destacar que, tras una época en la que parecía que este tipo de secuestro informático se había desinflado, sobre todo meses después del famoso WannaCry en 2017, ahora vuelve a repuntar con más sofisticación que nunca.

Este malware en concreto parece formar parte de un esquema RAAS (ransomware as a service), lo que significa, tal y como apuntan desde la compañía, que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. “Hay indicios de que se está distribuyendo a través de un programa de afiliados”, explican. “Así, los desarrolladores del virus han dejado una funcionalidad oculta que les permite descifrar archivos sin que sus afiliados lo sepan: una ‘llave maestra’ que no requiere una clave del distribuidor para su descifrado”. De este modo, los desarrolladores pueden utilizar esta función para controlar el descifrado de los datos de las víctimas o la distribución del ransomware, por ejemplo, al eliminar a ciertos distribuidores del programa de afiliados, haciendo que el malware sea inútil.

Además, el ransomware suele requerir alguna forma de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Las atacantes que utilizaron Sodin no necesitaban esa ayuda, normalmente encontraban un servidor vulnerable y enviaban un comando para descargar un archivo malicioso. Esto les permitía guardar el ransomware de forma local y ejecutarlo.