Rendere più complicata l’analisi del codice malevolo. Infatti, non tutti i “debugger” (esaminatori del codice), supportano questa tecnica e sono in grado di riconoscerla.

Eludere il rilevamento da parte delle soluzioni di sicurezza installate. La tecnica è utilizzata per aggirare il rilevamento basato sull’emulazione. Si tratta di un metodo per scoprire minacce precedentmente sconosciute che implicano il lancio del codice che si sta comportando in modo sospetto in un ambiente virtuale che “emula” un computer reale.

I ricercatori dihanno scoperto un nuovo crypto-ransomware denominato Sodin. Il ransomware sfrutta una(CVE-2018-8453) scoperta di recente per ottenere privilegi speciali all'interno di un sistema infetto e approfittare dell'architettura della Central Processing Unit (CPU) per evitare di essere rilevato, funzionalità che non si riscontra spesso nei ransomware. Inoltre, in alcuni casi il malware non richiede alcuna interazione da parte dell'utente,L'impressione è che questo malware faccia parte di uno schema RAAS (Ransoware As A Service): ciò significa che chi lo diffonde è libero di scegliere in che modo propagare l'encryptor. Alcune evidenze dimostrano che il malware viene distribuito. Una di queste prove, ad esempio, è un meccanismo lasciato dagli sviluppatori del malware all'interno delle sue funzionalità che permette loro di decriptare i file senza che gli affiliati lo scoprano: una "master key" che non richiede alcuna chiave di distribuzione per la decriptazione. Normalmente, le chiavi di distribuzione sono quelle usate per decriptare i file delle vittime che hanno pagato il riscatto. Questa funzionalità potrebbe essere utilizzata dagli sviluppatori, ad esempio, escludendo alcuni distributori dal programma di affiliazione, rendendo il malware inutile.Inoltre, di solito, il ransomware richiede una qualche forma di interazione con l'utente, come l'apertura di un allegato o di una email o il click su un link malevolo. I criminali che hanno utilizzato, invece, non hanno avuto bisogno di questo escamotage poiché si sono limitati a cercare un server vulnerabile al quale inviare un comando per scaricare il file malevolo. Successivamente, il ransomware veniva salvato localmente ed eseguito.La maggior parte degli obiettivi del ransomware Sodin sono stati trovati nella regione asiatica: il 17,6% degli attacchi è stato rilevato a Taiwan, il 9,8% a Hong Kong e l'8,8% nella Repubblica di Corea. Diversi attacchi sono stati rilevati ancheL'avviso lasciato dal ransomware sui PC infetti richiedeva ad ogni vittima. Ciò che rende Sodin ancora più difficile da rilevare è l'impiego della tecnica "Heaven's Gate". Questa pratica permette a un programma malevolo di eseguire un codice a 64 bit da un processo in esecuzione a 32 bit, il che non è una prassi comune e non accade spesso con i ransomware.I ricercatori di Kaspersky ritengono che Sodin utilizzi la tecnica Heaven's Gate per due motivi principali:"Il ransomware è un tipo di malware molto comune, ma non accade spesso di trovare versioni così elaborate e sofisticate. Utilizzare l'architettura della CPU per evitare di essere trovati è una pratica non comune per gli encryptor. Ci aspettiamo un aumento del numero degli attacchi che coinvolgono l'encryptor Sodin dal momento che la quantità di risorse necessarie per costruire questo malware è significativa. I criminali che hanno investito nello sviluppo del malware erano certi che avrebbero avuto successo, dichiara