Sodinokibi, còn được gọi là REvil, BluBackground hoặc Sodin, là một ransomware sử dụng nhiều chiến thuật để phân phối ransomware nhằm kiếm tiền hoa hồng. Nó nhắm vào người dùng nói tiếng Anh. Nó cũng khai thác các lỗ hổng trong các dịch vụ từ xa như Oracle WebLogic (CVE-2019-2725). Mọi người tin rằng nó có quan hệ với GandCrab. Theo Intezer Phân tích, nó sử dụng mã của Pony, RedOctober và Vidar.
Vào ngày 16 tháng 8 năm 2019, Sodinokibi đã tấn công vào 22 cơ sở hành chính ở Texas và yêu cầu một khoản tiền chuộc tổng cộng là 2,5 triệu đô la. Nó đã xâm phạm nhiều MSP (nhà cung cấp dịch vụ được quản lý) phát tán phần mềm độc hại cho khách hàng của họ.
Vào ngày 29 tháng 8 năm 2019, Sodinokibi đã tấn công một dịch vụ sao lưu dữ liệu từ xa và các tệp được mã hóa từ các cơ sở nha khoa ở Hoa Kỳ.
Vào ngày 9 tháng 12 năm 2019, Sodinokibi đã tấn công một nhà cung cấp CNTT khác phục vụ hàng trăm cơ sở nha khoa, lây nhiễm máy tính của khách hàng bằng cách khai thác một công cụ truy cập từ xa dễ bị tấn công.
Vào ngày 12 tháng 12 năm 2019, UNKN tuyên bố rằng một “lãnh vực” mới đã được tạo ra cho các hoạt động lớn. Họ cũng tuyên bố rằng sẽ sử dụng các tệp và dữ liệu bị đánh cắp làm đòn bẩy để bắt nạn nhân trả tiền chuộc.
Hành vi
Sau khi thực hiện, Sodinokibi sẽ tạo ra một mutex với tên mã hóa toàn cầu Global206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0 và giải mã với một cấu hình được nhúng sẵn.
Nếu tham số exp trong cấu hình được thiết lập, phần mềm độc hại sẽ cố gắng khai thác CVE-2018-8453 để có được các đặc quyền HỆ THỐNG.
Nếu tham số đó không được cấu hình để thực hiện khai thác hoặc nếu nỗ lực không thành công, thay vào đó, nó sẽ cố gắng tự chạy lại với tư cách quản trị viên.
Sodinokibi thu thập một số thông tin hệ thống cơ bản và lưu nó vào registry cùng với các tham số mã hóa được tạo. Nếu tùy chọn dbg không được đặt trong cấu hình, các giá trị bố trí bàn phím và ngôn ngữ UI sẽ được kiểm tra và phần mềm độc hại sẽ thoát ra trên các hệ thống sử dụng một trong các mã ngôn ngữ.
