據(jù)外媒報道，近日，勒索軟件Sodinokibi（又稱Sodin或REvil）使用一個舊的Windows零日漏洞（CVE-2018-8453）來提升對受感染主機的管理訪問權(quán)限。自2018年8月以來，該漏洞一直被一個受政府支持的黑客組織FruityArmor使用。2018年10月，微軟修復(fù)了該漏洞。

卡巴斯基的安全研究人員表示，該勒索軟件利用了權(quán)限提升漏洞進行攻擊，而大多數(shù)勒索軟件通常不會使用這種技巧。此外，研究人員還觀察到Sodinokibi使用Heaven's Gate技術(shù)來繞過防火墻和反病毒程序等安全解決方案。Sodinokibi代碼中還存在一個“萬能鑰匙”，作為加密過程的后門。Sodinokibi創(chuàng)建者可用此后門解密計算機加密的文件。

研究人員認為Sodinokibi是通過勒索軟件即服務(wù)（RaaS）分發(fā)的。有安全研究人員認為，Sodinokibi可能成為勒索軟件領(lǐng)域的下一個巨大威脅，因為它與曾經(jīng)最活躍的勒索軟件GandCrab有關(guān)。Sodinokibi的崛起正值GandCrab勒索軟件正式關(guān)閉所有業(yè)務(wù)之際，所以許多人將Sodinokibi視為GandCrab的發(fā)展，并認為這兩個勒索軟件由同一組人員開發(fā)。

兩者之間還存在著許多聯(lián)系，第一，來自Tesorion的安全研究人員強調(diào)了GandCrab和Sodinokibi代碼之間的相似之處。

第二，最初詳細介紹Sodinokibi勒索軟件的思科Talos報告稱，黑客首先在受感染的主機上部署Sodinokibi，然后運行GandCrab作為備選措施，以防Sodinokibi感染操作失敗。

第三，早在二月份，黑客通過入侵MSP（管理服務(wù)提供商）并部署GandCrab勒索軟件感染計算機。六月，同樣的行為再次發(fā)生，但這次黑客使用的是Sodinokibi勒索軟件。

第四，Sodinokibi的傳播方式與GandCrab類似，都是通過垃圾郵件、漏洞利用套件和入侵MSP進行傳播。

有些人認為GandCrab開發(fā)者關(guān)閉了公開的RaaS服務(wù)，但其實仍在繼續(xù)向私人客戶出售Sodinokibi勒索軟件。這些都只是人們的發(fā)現(xiàn)的一些聯(lián)系，兩個勒索軟件之間究竟有沒有聯(lián)系，還需等待研究人員給出“實錘”。