Kasperskyは、Microsoftが2018年10月のセキュリティ更新プログラムで対処したWindowsの特権昇格の脆弱性(CVE-2018-8453)を突いて感染するランサムウェア「Sodin」が、日本やドイツ、韓国、台湾、香港で拡散していると伝えた。
同社の研究者が7月3日に公開したブログによれば、Sodin(別名:Sodinokibi、REvil)は、win32k.sysの脆弱性を突くエクスプロイトの実行を通じて特権昇格を図るという。コンピューターに侵入すると、プロセッサーのアーキテクチャーに応じて2種類のシェルコードオプションの1つが実行されるなどして、権限を昇格させる。
ユーザーのデータを“人質”にとる暗号化は、ファイルにSalsa20対象ストリームのアルゴリズム、その鍵では楕円曲線非対称アルゴリズムを用いるハイブリッド型になっているという。暗号化されたファイルには任意の拡張子が設定され、使用できなくなる。被害者マシンのデスクトップ画面には、攻撃者のメッセージを記載した壁紙が表示され、“身代金”の支払い方法などを記したテキストファイルを参照するように促される。
この脆弱性はKasperskyが発見し、セキュリティ更新プログラムがリリースされた時点でMicrosoftがその悪用を警告していた。Kasperskyによれば、Sodinは2019年前半に出現し、Oracle Weblogicの脆弱性を突いてマネージドサービスプロバイダーを標的にした攻撃を展開していた。
同社の観測によれば、7月4日時点のSodinの感染率は台湾が約17%で最も高く、日本とドイツ、韓国が8%程度となっている。
ランサムウェア「Sodin」の感染状況(出典:Kaspersky)
