Sodinokibi勒索软件或将成为下一个巨大威胁

据外媒报道，近日，勒索软件Sodinokibi（又称Sodin或REvil）使用一个旧的Windows零日漏洞（CVE-2018-8453）来提升对受感染主机的管理访问权限。自2018年8月以来，该漏洞一直被一个受政府支持的黑客组织FruityArmor使用。2018年10月，微软修复了该漏洞。

卡巴斯基的安全研究人员表示，该勒索软件利用了权限提升漏洞进行攻击，而大多数勒索软件通常不会使用这种技巧。此外，研究人员还观察到Sodinokibi使用Heaven's Gate技术来绕过防火墙和反病毒程序等安全解决方案。Sodinokibi代码中还存在一个“万能钥匙”，作为加密过程的后门。Sodinokibi创建者可用此后门解密计算机加密的文件。

研究人员认为Sodinokibi是通过勒索软件即服务（RaaS）分发的。有安全研究人员认为，Sodinokibi可能成为勒索软件领域的下一个巨大威胁，因为它与曾经最活跃的勒索软件GandCrab有关。Sodinokibi的崛起正值GandCrab勒索软件正式关闭所有业务之际，所以许多人将Sodinokibi视为GandCrab的发展，并认为这两个勒索软件由同一组人员开发。

两者之间还存在着许多联系，第一，来自Tesorion的安全研究人员强调了GandCrab和Sodinokibi代码之间的相似之处。

第二，最初详细介绍Sodinokibi勒索软件的思科Talos报告称，黑客首先在受感染的主机上部署Sodinokibi，然后运行GandCrab作为备选措施，以防Sodinokibi感染操作失败。

第三，早在二月份，黑客通过入侵MSP（管理服务提供商）并部署GandCrab勒索软件感染计算机。六月，同样的行为再次发生，但这次黑客使用的是Sodinokibi勒索软件。

第四，Sodinokibi的传播方式与GandCrab类似，都是通过垃圾邮件、漏洞利用套件和入侵MSP进行传播。

有些人认为GandCrab开发者关闭了公开的RaaS服务，但其实仍在继续向私人客户出售Sodinokibi勒索软件。这些都只是人们的发现的一些联系，两个勒索软件之间究竟有没有联系，还需等待研究人员给出“实锤”。