Les chercheurs de Kaspersky mettent en garde les entreprises contre Sodin. Il s’agit d’un nouveau rançongiciel de chiffrement qui tire parti d’une faille de sécurité récemment découverte, la vulnérabilité jour zéro dans Windows. Il fournit davantage de droits d’accès aux systèmes infectés. Pour éviter d’être détecté, Sodin utilise l’architecture CPU. Selon Kaspersky, cette approche est très étonnante, car ce n’est pas souvent le cas avec les ransomwares. En outre, il semble que ce logiciel malveillant puisse atterrir sur des serveurs vulnérables sans interaction de l’utilisateur. Un certain nombre d’entreprises européennes ont entre-temps été victimes de Sodin et ont reçu une « demande de rançon » les enjoignant à payer 2 500 dollars en bitcoins.

Ce nouveau malware Sodin semble faire partie d’un scénario RAAS (ransomware-as-a-service). En d’autres termes, les distributeurs sont libres de choisir comment l'encrypteur se propage. Selon certains indices, le rançongiciel se propagerait aussi par le biais des programmes partenaires. Les développeurs ont par exemple laissé une faille dans la fonctionnalité du malware. Ainsi, ils peuvent décoder les fichiers sans que la victime ne s’en rende compte. Une « masterkey » garantit qu’aucune clé de distribution ne soit nécessaire pour le décodage. Normalement, les fichiers des victimes qui ont payé sont décodés avec une telle clé de distribution. Les développeurs peuvent utiliser cette fonction pour contrôler le déchiffrement des données ou la distribution du rançongiciel, par exemple, en supprimant certains distributeurs du programme connecté et ainsi rendre le rançongiciel inutilisable.

En règle générale, le rançongiciel nécessite une certaine forme d’interaction avec l'utilisateur comme ouvrir une pièce jointe d’un message e-mail ou cliquer sur un lien malveillant. Ce qui est étonnant dans ce cas, c’est que les cybercriminels de Sodin n’en ont pas besoin. Dans la plupart des cas, ils ont trouvé des serveurs vulnérables et envoyé une commande pour télécharger un fichier malveillant avec le nom « radm.exe ». Cette commande stocke et exécute ensuite le rançongiciel sur un ordinateur local.

Détecter Sodin est encore plus compliqué, car la technique « Heaven’s Gate » est également utilisée. Cette dernière permet à un programme malveillant d’exécuter du code 64 bits à partir d’un processus actif 32 bits. C’est inhabituel et presque du jamais vu pour un rançongiciel. Les chercheurs de Kaspersky suspectent l’utilisation de la technique Heaven's Gate pour deux raisons :

rendre l’analyse du code malveillant plus difficile. Tous les « débogueurs » (programmes de recherche de code) ne sont pas familiers avec cette technique et ne la reconnaissent donc pas.
contourner la détection par des solutions de sécurité installées. Cette technique est utilisée pour contourner la détection à base d'émulation. Il s’agit d’une méthode destinée à détecter des menaces encore inconnues, qui lance un code qui présente un comportement suspect dans un environnement virtuel dans lequel un ordinateur réel est simulé.

«Les rançongiciels sont devenus une forme très populaire de logiciels malveillants. Cependant, nous ne rencontrons pas souvent une variante aussi étendue et élaborée que Sodin», explique Jornt van der Wiel, expert sécurité chez Kaspersky. «Utiliser l’architecture CPU pour rester sous le radar n’est pas une pratique courante pour les encrypteurs. En outre, créer de tels logiciels malveillants demande beaucoup de travail. Il est fort probable que les attaques avec le cryptage Sodin ne fassent qu’augmenter. Les développeurs veulent bien sûr récupérer leur investissement ».

La plupart des cibles du rançongiciel Sodin se trouvent dans la région asiatique : 17,6 pour cent des attaques ont été détectées à Taiwan, 9,8 pour cent à Hong Kong et 8,8 pour cent en République de Corée. Des attaques ont également été observées en Europe, en Amérique du Nord et en Amérique latine. La « demande de rançon » laissée sur les ordinateurs infectés exige le paiement de 2 500 USD en bitcoins de chaque victime.