![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher haben eine neue Ransomware entdeckt und Sodin genannt (wird auch als Sodinokibi bezeichnet). Diese nutzt eine (letztes Jahr gepatchte) Windows-Schwachstelle sowie Besonderheiten der Prozessorarchitektur zur Verbreitung aus. Auch Deutschland und weitere europ\u00e4ische L\u00e4nder sind betroffen.<\/p>\n
<\/p>\n
Die Ransomware fiel erstmalig im April 2019<\/a> auf, als sie die Schwachstelle CVE-2019-2725<\/a> auf Oracle WebLogic Server f\u00fcr Angriffe ausnutzte (siehe<\/a>). Allerdings war diese Ransomware auch f\u00fcr den, Anfang Juni bekannt gewordenen<\/a>, Angriff auf drei Managed Service Providern (MSP) verantwortlich. Dort wurde anschlie\u00dfend den Kunden der Provider Malware zugespielt. Ich hatte das im Blog-Beitrag Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt<\/a> thematisiert. <\/p>\n Sodin (auch als Sodinokibi- oder REvil-Ransomware bekannt) versucht eine Schwachstelle in der Win32k-Komponente unter Windows 7 bis 10 und den Server-Editionen zur Privilegien-Erh\u00f6hung auszunutzen. Dazu verwendet die Malware auch einen Exploit f\u00fcr die Schwachstelle CVE-2018-8453, die Microsoft bereits im Oktober 2018 per Update geschlossen hat (siehe meinen Blog-Beitrag Windows: CVE-2018-8423; CVE-2018-8453, CVE-2018-8495<\/a>). <\/p>\n In einer technischen Analyse gibt Kaspersky an, dass Trojan-Ransom.Win32.Sodin eine Schwachstelle in win32k.sys<\/em> \u00fcberpr\u00fcft und ausnutzt, um die Privilegien zu erh\u00f6hen. Diese Techniken wurden erstmals im August 2018 von Kasperskys proaktiven Technologien (Automatic Exploit Prevention, AEP) erkannt. Ist CVE-2018-8453 vorhanden, erh\u00e4lt der Trojaner nach der Ausf\u00fchrung des Exploits die h\u00f6chste Berechtigungsstufe (System-Privilegien). Mit dem selten bei Ransomware genutzten Ansatz, schreibt Kaspersky<\/a>, kann der Sch\u00e4dling \u00fcber eine legitime Prozessorfunktionen Sicherheitsl\u00f6sungen unter Windows umgehen.<\/p>\n Die Ransomware l\u00f6scht Volumenschattenkopien und verschl\u00fcsselt Dateien auf den Systemen seiner Opfer. Die Sodin-Ransomware enth\u00e4lt dazu einen verschl\u00fcsselten Konfigurationsblock, der die Einstellungen und Daten enth\u00e4lt, die f\u00fcr die Funktion des Trojaners erforderlich sind. Der Konfigurationscode enth\u00e4lt Felder f\u00fcr den \u00f6ffentlichen Schl\u00fcssel, ID-Nummern f\u00fcr die Kampagne und den Distributor, Festlegungen zum \u00dcberschreiben von Daten, sowie Angaben zu Dateierweiterungen, die nicht verschl\u00fcsselt werden sollten. Aufgef\u00fchrt sich auch Namen der Prozesse, die die Malware beenden soll, Befehls- und Kontrollserveradressen, eine Vorlage f\u00fcr die Anzeige der L\u00f6segeldnotiz sowie die Anweisung zur Verwendung des Exploits, um h\u00f6here Privilegien auf dem Computer zu erhalten.<\/p>\n Die von Kaspersky analysierte Sodinokibi-Stichprobe verwendet ein hybrides Schema zur Verschl\u00fcsselung von Daten, d.h. sie wendet die symmetrische Verschl\u00fcsselung (Salsa20) f\u00fcr die Dateien und die asymmetrische Verschl\u00fcsselung der Schl\u00fcssel mit elliptischen Kurven an. Die Forscher fanden heraus, dass die Ransomware in der Registry sowohl den \u00f6ffentlichen Schl\u00fcssel – der die Daten verschl\u00fcsselt, als auch den privaten Schl\u00fcssel zur Entschl\u00fcsselung der Dateien speichert. Allerdings wirdder private Schl\u00fcssel auch mit einem zweiten \u00f6ffentlichen Schl\u00fcssel verschl\u00fcsselt. Dieser ist in der Malware kodiert und das Ergebnis wird ebenfalls in der Registrierung gespeichert.<\/p>\n Die Autoren der Ransomware haben dies vermutlich absichtlich getan, um selbst auch die Daten entschl\u00fcsseln zu k\u00f6nnen (und nicht nur der Betreiber der jeweiligen Sodinokibi-Ransomware-Kampagne). Es k\u00f6nnte eine Vorsichtsma\u00dfnahme sein, wenn der Urheber einer Kampagne verschwindet. Oder es ist ein Ansatz, um ggf. gr\u00f6\u00dfere Gewinne zu erzielen.<\/p>\n Nach der Verschl\u00fcsselung der Dateien legt Sodinokibi eine zuf\u00e4llige Erweiterung fest, die f\u00fcr jeden infizierten Computer unterschiedlich ist. Sowohl der Schl\u00fcssel als auch die Erweiterung m\u00fcssen auf einer von den Cyberkriminellen eingerichteten Website eingegeben werden. Dann wird den Opfern die L\u00f6segeldforderung angezeigt, die diese zahlen m\u00fcssen, um ihre Dateien zur\u00fcckzubekommen. Kaspersky hat auf Securelists den Text einer Ransomware-Meldung<\/a> ver\u00f6ffentlicht.<\/p>\n Kaspersky hat die nachfolgende \u00dcbersicht ver\u00f6ffentlicht, die die Verbreitung der Ransomware zwischen April und Juni 2019 zeigt. Kasperskys Statistiken zufolge befanden sich die meisten Opfer im asiatisch-pazifischen Raum: Taiwan (17,56%), Hongkong und S\u00fcdkorea (8,78%). Aber auch Japan scheint betroffen (Wert 8,05%).<\/p>\n In obiger Karte f\u00e4llt allerdings auch Deutschland mit einer Infektionsrate von 8,05% auf. Weitere L\u00e4nder sind Italien (5,12%), Spanien (4,88%), Vietnam (2,93), die USA (2,44%) und Malaysia (2,20%). Wie der Trojaner genau verbreitet wird, ist nach meiner Lesart nicht beschrieben \u2013 es werden die \u00fcblichen Wege wie Anhang zu einer Mail oder Drive-by-Downloads sein. Eine detaillierte Analyse findet sich bei Kaspersky<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher haben eine neue Ransomware entdeckt und Sodin genannt (wird auch als Sodinokibi bezeichnet). Diese nutzt eine (letztes Jahr gepatchte) Windows-Schwachstelle sowie Besonderheiten der Prozessorarchitektur zur Verbreitung aus. Auch Deutschland und weitere europ\u00e4ische L\u00e4nder sind betroffen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,4325],"class_list":["post-220142","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220142"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220142\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Kaspersky hat das Ganze vor einigen Tagen in diesem Artikel<\/a> ver\u00f6ffentlicht, ein Artikel findet sich ebenfalls bei Bleeping Computer<\/a>. <\/p>\n
Erstmals im April 2019 aufgetreten<\/h2>\n
Zielt auch auf Windows 7 \u2013 10 und Windows Server<\/h2>\n
Verschl\u00fcsselung der Daten<\/h2>\n
Verbreitung in Asien, aber auch in Deutschland<\/h2>\n
![\"Sodin-Ransomware](\"https:\/\/i.imgur.com\/boQ2w0K.jpg\"\/ "\\"Sodin-Ransomware")
(Quelle: Kaspersky, Sodin-Befall April \u2013 Juni 2019)<\/p>\n