據(jù)外媒報道,近日,勒索軟件Sodinokibi(又稱Sodin或REvil)使用一個舊的Windows零日漏洞(CVE-2018-8453)來提升對受感染主機的管理訪問權(quán)限。自2018年8月以來,該漏洞一直被一個受政府支持的黑客組織FruityArmor使用。2018年10月,微軟修復了該漏洞。
卡巴斯基的安全研究人員表示,該勒索軟件利用了權(quán)限提升漏洞進行攻擊,而大多數(shù)勒索軟件通常不會使用這種技巧。此外,研究人員還觀察到Sodinokibi使用Heaven's Gate技術(shù)來繞過防火墻和反病毒程序等安全解決方案。Sodinokibi代碼中還存在一個“萬能鑰匙”,作為加密過程的后門。Sodinokibi創(chuàng)建者可用此后門解密計算機加密的文件。
研究人員認為Sodinokibi是通過勒索軟件即服務(RaaS)分發(fā)的。有安全研究人員認為,Sodinokibi可能成為勒索軟件領域的下一個巨大威脅,因為它與曾經(jīng)最活躍的勒索軟件GandCrab有關(guān)。Sodinokibi的崛起正值GandCrab勒索軟件正式關(guān)閉所有業(yè)務之際,所以許多人將Sodinokibi視為GandCrab的發(fā)展,并認為這兩個勒索軟件由同一組人員開發(fā)。
兩者之間還存在著許多聯(lián)系,第一,來自Tesorion的安全研究人員強調(diào)了GandCrab和Sodinokibi代碼之間的相似之處。
第二,最初詳細介紹Sodinokibi勒索軟件的思科Talos報告稱,黑客首先在受感染的主機上部署Sodinokibi,然后運行GandCrab作為備選措施,以防Sodinokibi感染操作失敗。
第三,早在二月份,黑客通過入侵MSP(管理服務提供商)并部署GandCrab勒索軟件感染計算機。六月,同樣的行為再次發(fā)生,但這次黑客使用的是Sodinokibi勒索軟件。
第四,Sodinokibi的傳播方式與GandCrab類似,都是通過垃圾郵件、漏洞利用套件和入侵MSP進行傳播。
有些人認為GandCrab開發(fā)者關(guān)閉了公開的RaaS服務,但其實仍在繼續(xù)向私人客戶出售Sodinokibi勒索軟件。這些都只是人們的發(fā)現(xiàn)的一些聯(lián)系,兩個勒索軟件之間究竟有沒有聯(lián)系,還需等待研究人員給出“實錘”。
-
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21813 -
勒索軟件
+關(guān)注
關(guān)注
0文章
37瀏覽量
3547
原文標題:注意!Sodinokibi勒索軟件或?qū)⒊蔀橄乱粋€巨大威脅
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論