據(jù)外媒報(bào)道，近日，勒索軟件Sodinokibi（又稱Sodin或REvil）使用一個(gè)舊的Windows零日漏洞（CVE-2018-8453）來提升對(duì)受感染主機(jī)的管理訪問權(quán)限。自2018年8月以來，該漏洞一直被一個(gè)受政府支持的黑客組織FruityArmor使用。2018年10月，微軟修復(fù)了該漏洞。

卡巴斯基的安全研究人員表示，該勒索軟件利用了權(quán)限提升漏洞進(jìn)行攻擊，而大多數(shù)勒索軟件通常不會(huì)使用這種技巧。此外，研究人員還觀察到Sodinokibi使用Heaven's Gate技術(shù)來繞過防火墻和反病毒程序等安全解決方案。Sodinokibi代碼中還存在一個(gè)“萬能鑰匙”，作為加密過程的后門。Sodinokibi創(chuàng)建者可用此后門解密計(jì)算機(jī)加密的文件。

研究人員認(rèn)為Sodinokibi是通過勒索軟件即服務(wù)（RaaS）分發(fā)的。有安全研究人員認(rèn)為，Sodinokibi可能成為勒索軟件領(lǐng)域的下一個(gè)巨大威脅，因?yàn)樗c曾經(jīng)最活躍的勒索軟件GandCrab有關(guān)。Sodinokibi的崛起正值GandCrab勒索軟件正式關(guān)閉所有業(yè)務(wù)之際，所以許多人將Sodinokibi視為GandCrab的發(fā)展，并認(rèn)為這兩個(gè)勒索軟件由同一組人員開發(fā)。

兩者之間還存在著許多聯(lián)系，第一，來自Tesorion的安全研究人員強(qiáng)調(diào)了GandCrab和Sodinokibi代碼之間的相似之處。

第二，最初詳細(xì)介紹Sodinokibi勒索軟件的思科Talos報(bào)告稱，黑客首先在受感染的主機(jī)上部署Sodinokibi，然后運(yùn)行GandCrab作為備選措施，以防Sodinokibi感染操作失敗。

第三，早在二月份，黑客通過入侵MSP（管理服務(wù)提供商）并部署GandCrab勒索軟件感染計(jì)算機(jī)。六月，同樣的行為再次發(fā)生，但這次黑客使用的是Sodinokibi勒索軟件。

第四，Sodinokibi的傳播方式與GandCrab類似，都是通過垃圾郵件、漏洞利用套件和入侵MSP進(jìn)行傳播。

有些人認(rèn)為GandCrab開發(fā)者關(guān)閉了公開的RaaS服務(wù)，但其實(shí)仍在繼續(xù)向私人客戶出售Sodinokibi勒索軟件。這些都只是人們的發(fā)現(xiàn)的一些聯(lián)系，兩個(gè)勒索軟件之間究竟有沒有聯(lián)系，還需等待研究人員給出“實(shí)錘”。