Gisslanprogram (ransomware) fortsätter att drabba individer och verksamheter över hela världen. De flesta säkerhetslösningar kan numera upptäcka kända versioner av gisslanprogram, men Sodin, som it-säkerhetsforskare på Kaspersky Labs nyligen upptäckt, har ett tillvägagångssätt som är svårare att identifiera.

Sodin utnyttjar en nyligen upptäckt dag-noll-sårbarhet i Windows (CVE-2018-8453) för att få utökad behörighet. Den utnyttjar sen den processorns arkitektur för att undvika upptäckt, funktionalitet som är ovanlig bland gisslanprogram.

Sodin verkar inte heller kräva någon användarinteraktion. Vanligtvis behöver en användare öppna en e-postbilaga eller klicka på en länk för att ett gisslanprogram ska aktiveras. Sodin verkar dock inte behöva det, utan det räcker med att angriparna hittar en sårbar server, skickar ett kommando för att ladda ner den skadliga koden, som då sparas lokalt och kan aktiveras.

De flesta attackerna har hittats i Asien, där Taiwan har flest attacker (17,6 procent), men attacker har också upptäckts i Europa, samt i Nord- och Latinamerika. Microsoft patchade sårbarheten den 10 oktober 2018.

Läs också:
Se upp: Onlinevideoconverter innehåller skadlig kod
Nytt verktyg återställer filer som krypterats av gisslanprogram