据 BleepingComputer 报道,斯洛伐克互联网安全公司 ESET 发现,Hive 勒索软件团伙现已专门针对 Linux 和FreeBSD 这些平台,开发出了新恶意软件变体进行加密。不过Hive 勒索软件团伙的新加密机仍在开发中,缺乏功能。
ESET的研究人员在分析过程中发现,Hive 勒索软件的 Linux 版变体被证明存在明显 Bug ,当恶意软件以显式路径执行时,加密就会完全失败。
此外,该 Linux 版变体还自动支持单个命令行参数(-no-wipe)。相比之下,Hive 的 Windows 版勒索软件最多可提供5种执行选项,如终止进程,跳过磁盘清理、无趣文件和旧文件。
如果没有 root 权限的情况下执行,勒索软件的 Linux 版本变体也是无法触发加密的,因为它试图在受损设备的根文件系统上删除勒索说明。
ESET研究实验室表示:“就像 Windows 版本一样,这些Linux 版本的变体也是用 Go 语言编写的,但是字符串、包名和函数名都被混淆了,很可能是通过混淆工具 gobfuscate 来实现的。”
勒索软件的攻击目标开始转向 Linux 服务器
据了解,勒索软件组织 Hive 至少从 2021 年 6 月份开始活跃,至今已袭击了 30 多个组织(仅包括拒绝支付赎金的受害者)。
然而,Hive 仅是开始拿 Linux 服务器作为攻击目标的众多勒索软件团伙之一。通过瞄准虚拟机,勒索软件运营商可以用一个命令同时加密多个服务器。
有报道称,早在今年6月份,研究人员就发现了一种叫做 REvil 的新型勒索软件 Linux 加密机,其设计目标正是针对 VMware ESXi 虚拟机的(一种流行的企业虚拟机平台)。
奥地利的知名的病毒安全软件 Emsisoft 首席技术官 Fabian Wosar 在媒体采访中表示,其他勒索软件集团,如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ,他们也创建了自己的 Linux 加密机。
Wosar称:“大多数勒索软件集团,实施基于 Linux 版本勒索软件的原因,都是专门针对 ESXi 的”。
有报道显示,过去一段时间 在Snatch 和 PureLocker 的勒索软件操作里,也使用了 Linux 版本变体进行过攻击。
今年7月和8月份,HelloKitty 、 Blackmate 勒索软件 Linux 加密机均被安全研究人员在野外发现。一个月后,经研究发现其中一些 Linux 版本的恶意软件中也存在Bug,可能在加密过程中损坏受害者的文件。
这些,也恰好证实了上面 Wosar 的说法。
