據 BleepingComputer 報導,斯洛伐克網際網路安全公司 ESET 發現,Hive 勒索軟體團伙現已專門針對 Linux 和FreeBSD 這些平臺,開發出了新惡意軟體變體進行加密。不過Hive 勒索軟體團伙的新加密機仍在開發中,缺乏功能。
ESET的研究人員在分析過程中發現,Hive 勒索軟體的 Linux 版變體被證明存在明顯 Bug ,當惡意軟體以顯式路徑執行時,加密就會完全失敗。
此外,該 Linux 版變體還自動支援單個命令列引數(-no-wipe)。相比之下,Hive 的 Windows 版勒索軟體最多可提供5種執行選項,如終止程式,跳過磁碟清理、無趣檔案和舊檔案。
如果沒有 root 許可權的情況下執行,勒索軟體的 Linux 版本變體也是無法觸發加密的,因為它試圖在受損裝置的根檔案系統上刪除勒索說明。
ESET研究實驗室表示:“就像 Windows 版本一樣,這些Linux 版本的變體也是用 Go 語言編寫的,但是字串、包名和函式名都被混淆了,很可能是通過混淆工具 gobfuscate 來實現的。”
勒索軟體的攻擊目標開始轉向 Linux 伺服器
據瞭解,勒索軟體組織 Hive 至少從 2021 年 6 月份開始活躍,至今已襲擊了 30 多個組織(僅包括拒絕支付贖金的受害者)。
然而,Hive 僅是開始拿 Linux 伺服器作為攻擊目標的眾多勒索軟體團伙之一。通過瞄準虛擬機器,勒索軟體運營商可以用一個命令同時加密多個伺服器。
有報導稱,早在今年6月份,研究人員就發現了一種叫做 REvil 的新型勒索軟體 Linux 加密機,其設計目標正是針對 VMware ESXi 虛擬機器的(一種流行的企業虛擬機器平臺)。
奧地利的知名的病毒安全軟體 Emsisoft 技術長 Fabian Wosar 在媒體採訪中表示,其他勒索軟體集團,如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ,他們也建立了自己的 Linux 加密機。
Wosar稱:“大多數勒索軟體集團,實施基於 Linux 版本勒索軟體的原因,都是專門針對 ESXi 的”。
有報導顯示,過去一段時間 在Snatch 和 PureLocker 的勒索軟體操作裡,也使用了 Linux 版本變體進行過攻擊。
今年7月和8月份,HelloKitty 、 Blackmate 勒索軟體 Linux 加密機均被安全研究人員在野外發現。一個月後,經研究發現其中一些 Linux 版本的惡意軟體中也存在Bug,可能在加密過程中損壞受害者的檔案。
這些,也恰好證實了上面 Wosar 的說法。