[更新]威胁聚光灯：SodInokibi / Revil Ransomware

更新时间:7月5日凌晨2:06

本博客文章出版后2年，德瑞士多基/ Revil赎金软件仍然活跃。虽然它继续留下受影响的组织网络的踪迹 - 但是它的喜欢地方政府或真正的大名称组，如Grubman Shire Meiselas＆Sacks，宏碁，旅游， 和JBS关于恶意软件的某些方面，而且业务本身就像任何其他高利可图一样进化勒索软件AS-A-Service（RAAS）业务。

最新的受害者升值是Kaseya.这家总部位于美国的软件公司开发并销售广受欢迎的Kaseya VSA远程监控和管理（RMM）软件管理服务提供商(MSPs)．您可以阅读更多关于Revil对Kaseya攻击的有关题为题为帖子的详细信息，数千人被REvil勒索软件劫持Kaseya VSA．

---

SodInokibi Ransomware，也被称为Sodin和Revil，几乎没有三个月大，但它很快成为讨论的主题网络安全专业人士由于它与臭臭臭臭虫的明显联系Gandcrab赎金制品．

由malwarebyte必威平台APPs检测到ransom.sodinokibi.在美国，Sodinokibi是一种RaaS勒索软件，就像GandCrab一样，尽管研究人员认为它比它的前身更先进。自5月初以来，我们一直注意到这一威胁同样针对企业和消费者，6月初企业和消费者的检测都有所上升。必威官网多少根据我们的遥测数据，自5月底GandCrab退出以来，Sodinokibi一直在上升。

5月31日，Gandcrab背后的威胁演员正式宣布退休，详细说明他们的计划停止出售和广告甘草黑暗的网络论坛帖子。

虽然许多人可能已经在Gandcrab的“通过”中浮现的叹息，但有些表达怀疑论除了团队是否真正落后于他们成功的赚钱方案。随后的是黯淡的预期另一个赎金手术 - 或者重新出现小组兜售新的商品 - 接受填补洞凌乱的洞穴。

进入Sodinokibi / REvil

在旧产品上旋转是一个概念，这不是合法的商业界的闻所未闻。通常，旋转涉及为产品创建一个新名称，一些调整其现有功能，并在RAAS操作的情况下找到新的影响者 - “关联者” - 使用（和市场）产品。此外，威胁演员最初将限制新产品的可用性，并在不接触产品标准的情况下使用全新的营销活动，并遵循全新的营销活动。在后威尔，似乎Gandcrab团队已经采取了这条路线。

在GandCrab宣布退休的一个月前，思科Talos的研究员发布关于他们发现Sodinokibi的信息。攻击者利用后手动感染目标服务器零天脆弱性在其Oracle WebLogic应用程序中。

到目前为止，已经在野外发现了六个版本的Sodinokibi。

参与REvil的主要威胁演员Unknown (UNKN)承认，该勒索软件与《GandCrab》有关联英特尔471的一篇博客文章这是一家网络犯罪情报资源公司。UNKN在一份声明中说:“我们曾经是GandCrab附属项目的成员。我们购买了源代码，开始了自己的事业。我们为我们的目的开发了定制功能。”

SodInokibi / Revil感染载体

和GandCrab一样，Sodinokibi勒索软件遵循一个附属营收系统，允许其他网络罪犯通过几个载体传播它。他们的攻击方法包括:

• 主动开发Oracle WebLogic的漏洞，正式命名为CVE-2019-2725
• 具有链接或附件的恶意垃圾邮件或网络钓鱼活动
• 正如大家所知道的那样导致钻机开发套件的活动，在以前使用的甘蓝的大道
• 受损或渗透管理服务提供商(MSPs)，这是远程管理其他公司的IT基础架构和/或最终用户系统的第三方公司，以推动赎金软件en-masse。这是通过通过访问网络访问网络来完成的远程桌面协议（RDP）然后使用MSP控制台部署Ransomware。
• 虚拟专用网络（VPN）错误，例如Citrix和Pulse Secure VPN中的那些
• 通过其他恶意软件，通常是木马，比如Gootkit.信息窃取者和icedid（又名博克波特）模块化的银行木马

虽然其分支机构也使用这些策略来推动GandCrab，但许多网络罪犯——民族国家的演员包括——也做了同样的事情来推动他们自己的恶意软件活动。

SodInokibi / Revil感染的症状

被Sodinokibi勒索软件感染的系统出现以下症状:

改变桌面墙纸。就像任何其他勒索软件一样，SodInokibi将受影响系统的桌面壁纸更改为通知，通知用户他们的文件已被加密。壁纸有一个蓝色背景，因为您可以从上面的屏幕截图中部分地看到，文本：

您的所有文件都已加密！
查找{5-8字母数字字符} -readme.txt并按照说明进行操作

勒索瓶的存在。的{5-8字母数字字符} -readme.txt文件指的是每个赎金软件攻击的赎金票据。在SodInokibi的情况下，它看起来像这样：

该备注包含有关受影响用户如何进行赎金以及解密过程如何工作的说明。

使用5-8个字符的扩展名的加密文件。SodInokibi使用Salsa20加密算法加密本地驱动器上的某些文件，每个文件重命名为包含预先生成的伪随机字母数字扩展，那么长达八个字符。

赎金通知文件名中包含的扩展名和字符串是相同的。例如，如果Sodinokibi加密了一个图像文件并将其重命名为paris2017.r4nd01，它相应的赎金笔记将具有文件名R4ND01-README.txt.．

SodInokibi寻找主要是媒体和编程相关的文件，其中包含以下扩展来加密：

• .jpg.
• .jpeg
• 。生的
• .tif.
• .png.
• bmp格式
• .3dm.
• .max
• .ACCDB.
• 。D b
• . mdb
• .dwg.
• .dxf.
• . cpp
• 。CS
• ．h
• . php
• .asp.
• .rb.
• .java.
• .AAF.
• .EP.
• .APX.
• .plb.
• .prel.prel.
• .Aet.
• .ppj.
• .gif.
• .psd.

已删除的影子复制备份和禁用Windows启动修复工具。影子副本（也称为卷快照服务，卷影复制服务或VSS）以及启动修复是Windows操作系统中固有的技术。前者是“卷的快照，该卷重复在一个定义的瞬间在该卷上保持的所有数据，”根据Windows Dev Center．后者是一个用于排除某些Windows问题的恢复工具。

删除卷影副本可防止用户从备份中恢复备份时，他们发现其文件由ransomware加密。禁用启动修复工具可防止用户尝试修复可能是由勒索软件感染引起的系统错误。

其他骗子苏丹赛/瑞士风格的袖子

勒索软件通常不会利用零日漏洞进行攻击，但Sodinokibi不是一般的勒索软件。它利用了Windows中Win32k组件文件中一个提升的特权零日漏洞。

被指定为CVE-2018-8453，此缺陷可以授予SodInokibi管理员访问它感染的端点。这意味着它可以作为系统上的管理员进行相同的任务，例如禁用安全软件和其他旨在保护系统免受恶意软件的功能。

CVE-2018-8453是与众不同的漏洞Firfumarmor Apt去年剥削了其恶意软件活动。

Sodinokibi的新变种还被发现使用了“天堂之门”(Heaven’s Gate)，这是一种古老的逃避技术，用于在32位进程上执行64位代码，从而允许恶意软件运行而不被发现。我们在2018年初解剖的时候提到了这项技术一个有趣的加密我们在野外捕获。

保护您的系统从Sodinokibi/REvil

必威平台APPMalwarebytes跟踪Sodinokibi的活动和保护优质消费者用户和商务用户签名的检测，在感染链之前咬在芽中的攻击甚至开始。无需实时保护，我们的免费版本的用户不会受到保护。

我们建议消费者如果不是Premium Malwarebytes客户，请采取以下行动：必威平台APP

• 创建您的数据的安全备份，无论是在外部驱动器或在云上．保存完所有信息后，请确保将外接驱动器与计算机分离，因为如果它仍然连接，也可能被感染。
• 在所有系统和软件上运行更新，修补任何漏洞。
• 警惕可疑的电子邮件，特别是那些包含链接或附件的邮件。读读如何检测钓鱼企图两者都在你的电脑和你的移动设备．

要减轻业务方面，我们还推荐IT管理员执行以下操作：

• 禁止公网ip访问RDP端口3389。
• 替换您公司的CONNECHWISE MANAMEDITSYNC集成插件最新版本在将VSA服务器重新连接到Internet之前。
• 块SMB端口445.实际上，阻止所有未使用的端口的安全练习。
• 应用最新的Microsoft Update软件包。
• 在此静脉中，确保端点上的所有软件都是最新的。
• 限制使用系统管理工具对IT人员或仅需要访问的员工。
• 在Microsoft Office产品上禁用宏。
• 定期提醒员工可能针对该组织所在行业或公司本身的威胁如何处理可疑的电子邮件，例如，如果它们不确定源，请避免单击链接或打开附件。
• 对电子邮件应用附件过滤。
• 定期创建多个数据备份，最好是未连接到因特网的设备。

妥协指标（IOC）

早期Sodinokibi/REvil变体的文件哈希:

E713658B666FF04C9863EBECB458F174 BF9359046C4F5C24DE0A9DE28BBABD14 177A571D7C6A6E4592C60A78B574FE0E

文件散列Kaseya相关的SodInokibi / Revil装载机：

df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e
DC6B0E8C1E9C113F0364E1C8370060DEE3FCBE25B667DDECA7623A95CD21411f
D55F983C994CAAA160C63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7
66490C59CB9630B53FA3FA7125B5C9511AFDE38EDAB4459065938C1974229CA8
81年d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471
1FE9B489C25BB23B04D9996E8107671EDEE69BD6F6DEF2FE7ECE38A0FB35F98E

文件散列Kaseya相关的SodInokibi / Revil DLL文件：

d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20 d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6 0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402 8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

保持安全,大家好!