Verileri yahut aygıtları şifreleyip ya da kilitleyip para talep etmekte kullanılan fidye yazılımları siber hatalılar tarafından kullanılmaya devam ediyor. Bu yazılımlar tüm dünyada kullanıcıları ve her ölçekten kurumları etkileyebiliyor. Birden fazla güvenlik tahlili artık bilindik sürümleri ve atak vektörlerini tespit edebiliyor. Lakin, Sodin üzere gelişmiş sürümlerin tespit edilmesi vakit alabiliyor. Yakın vakit evvel keşfedilen bir Windows sıfır gün açığından yararlanan (CVE-2018-8453) Sodin, bulaştığı sistemde üst seviye yetki ediniyor.
Zararlı yazılım Sodin, “hizmet olarak fidye yazılımı” tekniğinin bir modülü üzere görünüyor. Bu metotta siber hatalılar şifreleyicinin dağıtım biçimini kendileri seçebiliyor. Bu ziyanlı yazılımın bir üye programıyla dağıtıldığına işaret eden ipuçları bulunuyor. Örneğin, ziyanlı yazılımı geliştirenler üyelerin haberi olmadan evrakların şifresini kaldırmayı sağlayan bir “ana anahtar” hazırlıyor. Bu anahtar dağıtımcının anahtarına muhtaçlık olmadan evrakları açabiliyor. Olağanda kurban parayı ödediğinde şifreleri kaldırmak için dağıtımcı anahtarları kullanılıyor. Geliştiriciler bu halde kurbanların datalarının nasıl şifrelendiğini yahut fidye yazılımın dağıtım biçimini denetim altına alıyor. Yazılımı kullanan birtakım üyelerle münasebetlerini kesmek istediklerinde ana anahtarı kullanarak şifrelemeyi kaldırabiliyorlar.
Fidye yazılımları çoklukla kullanıcının, e-posta eki açmak yahut ziyanlı bir irtibata tıklamak üzere bir etkileşimiyle aktif hale geliyor. Lakin Sodin’i kullanan saldırganlar buna gereksinim duymuyor. Zayıf bir sunucu bulup “radm.exe” isimli ziyanlı belgeyi indirmek için bir komut göndermeleri kâfi oluyor. Böylelikle fidye yazılımını lokal olarak kaydedip çalıştırabiliyorlar.
Sodin fidye yazılımının maksatlarının birden fazla Asya bölgesinde yer alıyor: Taarruzların %17,6’sı Tayvan’da, %9,8’i Hong Kong’da ve %8,8’i ise Güney Kore’de tespit edildi. Fakat Avrupa, Kuzey Amerika ve Latin Amerika’da da ataklar gözlendi. Maksat alınan PC’lere bırakılan notta kurbanlardan 2500 ABD doları pahasında Bitcoin talep ediliyor.
Sodin’in tespit edilmesini zorlaştıran şey ise “Cennet Kapısı” tekniğini kullanması. Bu teknik sayesinde ziyanlı yazılım 32-bit çalışma sürecinden 64-bit kod çalıştırabiliyor. Çok sık rastlanmayan bu formül fidye yazılımlarda da pek görülmüyor.
Araştırmacılar Sodin’de Cennet Kapısı usulünün kullanılmasının gerisinde iki neden olduğunu düşünüyor:
Zararlı kodun tahlilini zorlaştırmak: Kod kontrolcülerinin tümü bu tekniği desteklemediği için ziyanlı yazılım tespit edilemiyor.
Kurulu güvenlik tahlilleri tarafından tespit edilmekten kaçınmak: Bu teknik benzetme tabanlı tespitten kaçınmakta kullanılıyor. Bu usulde gerçek bir bilgisayara benzeyen sanal bir ortamda kuşkulu davranan kodlar belirleniyor. Daha evvelce bilinmeyen tehditler bu kodları kullandığında tespit ediliyor.