De Sodinokibi-ransomware die door verschillende securitybedrijven als de opvolger van de beruchte GandCrab-ransomware wordt gezien maakt nu ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te infecteren. De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een recent gepatchte kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden.

Naast het beveiligingslek in Oracle WebLogic maken de aanvallers ook gebruik van kwetsbaarheden in Apache Tomcat en PHPMyAdmin. Volgens securitybedrijf 360 Core Security zijn de aanvallen op deze webapplicaties minder succesvol en maken de aanvallers sinds mei ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te maken.

De aanvallers versturen e-mails met onderwerpen zoals "offerte" en "factuur" om slachtoffers het bestand te laten openen. Zodra de ontvanger van het bestand de macro in het document inschakelt wordt de ransomware gedownload. De ransomware maakt daarbij gebruik van een beveiligingslek in Windows zodat de code met kernelrechten wordt uitgevoerd. Dit beveiligingslek werd op 9 oktober vorig jaar door Microsoft gepatcht.