В начале лета текущего года операторы шифровальщика GandCrab объявили о прекращении деятельности, так как уже заработали достаточно. Однако специалисты компании SecureWorks полагают, что GandCrab оставил после себя «наследника»: изучив код вымогателя REvil (он же Sodinokibi), появившегося практически одновременно с «отставкой» GandCrab, исследователи предположили, что шифровальщики связаны.
О вероятной связи между двумя угрозами пишут уже давно. К примеру, когда Sodinokibi атаковал серверы WebLogic, эксперты Cisco обратили внимание, что те же злоумышленники вскоре доставили на зараженные хосты и GandCrab 5.2. Уже тогда многие эксперты предположили, что новая малварь фактически является преемником старой и, судя по всему, они не ошибись.
Аналитики SecureWorks пишут, что между двумя вредоносами определенно есть связь. Так, бета-версия Sodinokibi была загружена на VirusTotal 10 апреля 2019 года, а первый стабильный выпуск с построением URI, таким же, как у GandCrab, появился спустя двадцать дней.
Изучая эти ранние варианты Sodinokibi, исследователи обнаружили, что вымогатель использовали почти идентичные с GandCrab функции декодирования строк. Продолжив анализ кода, специалисты поискали на VirusTotal другие подходящие образцы и пришли к выводу, что совпадения демонстрируют только GandCrab, Sodinokibi или дешифровщики для них.
Также в коде Sodinokibi удалось выявить артефакты, судя по всему, оставшиеся там от GandCrab: например, название проекта gcfin, что, как полагают исследователи, означает «GandCrab Final», или gc6, что означает «GandCrab 6».
Пока эксперты не могут сказать наверняка, стоят за Sodinokbi и GandCrab одни и те же люди, или же группировка, занимавшаяся GandCrab, действительно отошла от дел, а разработчики малвари теперь сотрудничают с другими преступниками. Также возможно, что операторы GandCrab вообще продали свой «бизнес» другим преступникам и Sodinokibi дело уже их рук.