都说猖狂的勒索软件——Sodinokibi，你是否了解？

转自Bleeping Computer，作者 Ionut Ilascu

在勒索软件领域相对较新的Sodinokibi，已经为其管理人员和附属机构带来了可观的利润，一些受害者支付了高达24万美元，而网络感染平均净赚15万美元。

当你看到恶意软件最近的活动时，这些数字并不令人惊讶。8月16日，Sodinokibi袭击了德克萨斯州的22个地方政府，要求共250万美元的赎金。它破坏了多个msp(托管服务提供商)向客户传播恶意软件的行为。

最近的受害者是另一个MSP，它为牙科诊所提供数据备份服务。在这个案件中，据称每名客户的赎金为5 000美元;数百人受到影响。

自今年4月被发现以来，Sodinokibi(又名REvil)已经变得多产，并迅速在勒索软件行业和安全研究领域的网络罪犯中赢得了声誉。

5月中旬，一个名为UNKN的Sodinokibi广告客户在地下论坛上存入了超过10万美元，以表明他们是认真的。

这种新型文件加密恶意软件的广告从7月初开始在至少两个论坛上出现。UNKN表示，他们希望扩大活动范围，这是一家私人企业，“座位有限”，可供有经验的个人使用。

恶意软件研究人员达米安(Damian)向BleepingComputer提供的声明截图显示，UNKN将恶意软件描述为“私人勒索软件”，灵活程度足以适应RaaS的商业模式。

UNKN最初向关联公司提供了60%的付款，在前三笔交易后增加了10%。这位演员还明确表示，作为这个私人项目的一部分，他们不会与说英语的子公司合作。

该勒索软件的名称并未在论坛帖子中披露，但研究人员告诉我们，他看到了该恶意软件管理面板的截图，显示的机器人ID与Sodinokibi看起来一样。

最近，就有一名受害者支付了27.7枚比特币，交易时兑换成超过22万美元。

达米安的另一项抓捕行动表明，这个勒索软件项目非常有利可图，一些受害者只需支付4个比特币(约合4000美元)，而其他人则在转换时支付26个比特币，约合24万美元。

对于那些可以感染整个网络的附属机构，REvil/Sodinokibi开发人员允许受害者为整个受感染的计算机购买解密工具。根据BleepingComputer分享的论坛帖子，这些网络范围的解密器平均成本为15万美元。

随着收入的涌入，其他恶意软件经销商正试图进入该程序，但UNKN昨日表示，目前没有子公司的空缺。

当他们开始做广告的时候，威胁行为者已经得到了地下勒索软件社区中受人尊敬的成员的支持。

高级情报(AdvIntel)安全研究主管Yelisey Boguslavskiy告诉BleepingComputer,UNKN在7月4日的一个网络犯罪论坛上注册了一个账户，很明显，他们一直活跃在这个社区之外。

两名专门从事勒索软件攻击的知名社区成员支持UNKN，并透露他们已经加入了该联盟项目，表明他们已经知道自己在与谁打交道。

论坛成员Lalartu透露，他们是在GandCrab项目破产后开始与Sodinokibi合作的。他们赞扬新RaaS披露的这一举措对盈利产生了重大影响，“不仅增长，还突破了天花板，进一步增长。”

今年6月，Sodinokibi上开始了一场讨论，大多数论坛成员对新的勒索软件及其合法性表示怀疑。UNKN提交联合报价后，该线程很快被删除。

Sodinokibi是在研究人员发现它通过利用一个关键的反序列化漏洞部署在Oracle WebLogic服务器上时被发现的。

在感染Sodinokibi病毒的同一系统上，网络罪犯在几小时后也安装了GandCrab。四月底，GandCrab的管理人员宣布他们将在20天内关闭商店。他们遵守了诺言。

在GandCrab ransomwareas -as-a-service (RaaS)关闭后不久，Sodinokibi勒索软件的运营商就开始寻找合作伙伴来发布他们的软件。

地下对新产品的反应表明，这可能与现已关闭的GandCrab行动的管理人员或附属机构有关。

一些恶意软件分析人士指出，这两种勒索软件在代码级别上有相似之处，尽管两者之间存在很多差异。

然而，一个相似之处是，这两个恶意软件家族的管理员都不会在独联体地区开展业务。这包括俄罗斯、乌克兰、摩尔多瓦、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、亚美尼亚、塔吉克斯坦、土库曼斯坦和乌兹别克斯坦。

随着恶意软件的迅速升级，这些面包屑似乎暗示了GandCrab团队或其附属机构的参与。他们已经在私人论坛上建立了联系，这让他们能够迅速推广Sodinokibi，并对自己的伴侣有选择性。

目前还没有明确的、不可否认的证据表明，Sodinokibi是由管理GandCrab的同一个人管理的，但他们显然知道勒索软件的把戏，并热衷于赚钱。

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾：从现在开始，我的每一句话都是认真的。

如果，你被攻击了，别打110、119、120，来这里看着就行。

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势。