据外媒报道,近日,勒索软件Sodinokibi(又称Sodin或REvil)使用一个旧的Windows零日漏洞(CVE-2018-8453)来提升对受感染主机的管理访问权限。自2018年8月以来,该漏洞一直被一个受政府支持的黑客组织FruityArmor使用。2018年10月,微软修复了该漏洞。
卡巴斯基的安全研究人员表示,该勒索软件利用了权限提升漏洞进行攻击,而大多数勒索软件通常不会使用这种技巧。此外,研究人员还观察到Sodinokibi使用Heaven"s Gate技术来绕过防火墙和反病毒程序等安全解决方案。Sodinokibi代码中还存在一个“万能钥匙”,作为加密过程的后门。Sodinokibi创建者可用此后门解密计算机加密的文件。
研究人员认为Sodinokibi是通过勒索软件即服务(RaaS)分发的。有安全研究人员认为,Sodinokibi可能成为勒索软件领域的下一个巨大威胁,因为它与曾经最活跃的勒索软件GandCrab有关。Sodinokibi的崛起正值GandCrab勒索软件正式关闭所有业务之际,所以许多人将Sodinokibi视为GandCrab的发展,并认为这两个勒索软件由同一组人员开发。
两者之间还存在着许多联系,第一,来自Tesorion的安全研究人员强调了GandCrab和Sodinokibi代码之间的相似之处。
第二,最初详细介绍Sodinokibi勒索软件的思科Talos报告称,黑客首先在受感染的主机上部署Sodinokibi,然后运行GandCrab作为备选措施,以防Sodinokibi感染操作失败。
第三,早在二月份,黑客通过入侵MSP(管理服务提供商)并部署GandCrab勒索软件感染计算机。六月,同样的行为再次发生,但这次黑客使用的是Sodinokibi勒索软件。
第四,Sodinokibi的传播方式与GandCrab类似,都是通过垃圾邮件、漏洞利用套件和入侵MSP进行传播。
有些人认为GandCrab开发者关闭了公开的RaaS服务,但其实仍在继续向私人客户出售Sodinokibi勒索软件。这些都只是人们的发现的一些联系,两个勒索软件之间究竟有没有联系,还需等待研究人员给出“实锤”。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。