Ransomware, den typ av skadlig kod som låser data eller enheter och där lösen krävs för att låsa upp fortsätter att drabba individer och verksamheter över hela världen. De flesta säkerhetslösningar kan numera upptäcka kända versioner av ransomware, men Sodin har ett tillvägagångssätt som är svårare att identifiera.

Sodin utnyttjar en nyligen upptäckt nolldagarssårbarhet i Windows (CVE-2018-8453) för att få utökad behörighet. Den utnyttjar sen den centrala processenhetens (CPU) arkitektur för att undvika upptäckt, funktionalitet som inte är vanlig hos ransomware.

Sodin verkar inte heller kräva någon användarinteraktion. Vanligtvis behöver en användare öppna en epostbilaga eller klicka på en länk för att ett ransomware ska aktiveras. Sodin verkar dock inte behöva det utan det räcker med att angriparna hittar en sårbar server, skickar ett kommando för att ladda ner den skadliga koden, som då sparas lokalt och kan aktiveras.

De flesta attackerna har hittats i Asien, där Taiwan har flest (17,6%), men attacker har också upptäckts i Europa, samt i Nord- och Latinamerika.

Sårbarheten patchades den 10 oktober 2018.

För att undvika att drabbas av Sodin-hot, rekommenderar Kasperskys forskare företag att regelbundet uppdatera sin säkerhetslösning. Kaspersky framhåller oc skå sin egen

säkerhetslösning –  Kaspersky Endpoint Security for Business – som är utrustad med beteendebaserad detekteringskapaciteter för effektivt skydd mot kända och okända hot, inklusive exploits.