用 Go 語言編寫的Hive 勒索軟件，專門以 Linux 服務(wù)器作為攻擊目標(biāo)

據(jù) BleepingComputer 報(bào)道，斯洛伐克互聯(lián)網(wǎng)安全公司 ESET 發(fā)現(xiàn)，Hive 勒索軟件團(tuán)伙現(xiàn)已專門針對 Linux 和FreeBSD 這些平臺(tái)，開發(fā)出了新惡意軟件變體進(jìn)行加密。不過，Hive 勒索軟件團(tuán)伙的新加密機(jī)仍在開發(fā)中缺乏功能。

ESET的研究人員在分析過程中發(fā)現(xiàn)，Hive 勒索軟件的 Linux 版變體被證明存在明顯 Bug ，當(dāng)惡意軟件以顯式路徑執(zhí)行時(shí)，加密就會(huì)完全失敗。

此外，該 Linux 版變體還自動(dòng)支持單個(gè)命令行參數(shù)（-no-wipe）。相比之下，Hive 的 Windows 版勒索軟件最多可提供5種執(zhí)行選項(xiàng)，如終止進(jìn)程，跳過磁盤清理、無趣文件和舊文件。

如果沒有 root 權(quán)限的情況下執(zhí)行，勒索軟件的 Linux 版本變體也是無法觸發(fā)加密的，因?yàn)樗噲D在受損設(shè)備的根文件系統(tǒng)上刪除勒索說明。

ESET研究實(shí)驗(yàn)室表示：“就像 Windows 版本一樣，這些Linux 版本的變體也是用 Go 語言編寫的，但是字符串、包名和函數(shù)名都被混淆了，很可能是通過混淆工具 gobfuscate 來實(shí)現(xiàn)的?！?/span>

勒索軟件的攻擊目標(biāo)開始轉(zhuǎn)向 Linux 服務(wù)器

據(jù)了解，勒索軟件組織 Hive 至少從 2021 年 6 月份開始活躍，至今已襲擊了 30 多個(gè)組織（僅包括拒絕支付贖金的受害者）。

然而，Hive 僅是開始拿 Linux 服務(wù)器作為攻擊目標(biāo)的眾多勒索軟件團(tuán)伙之一。
通過瞄準(zhǔn)虛擬機(jī)，勒索軟件運(yùn)營商可以用一個(gè)命令同時(shí)加密多個(gè)服務(wù)器。

有報(bào)道稱，早在今年6月份，研究人員就發(fā)現(xiàn)了一種叫做 REvil 的新型勒索軟件 Linux 加密機(jī)，其設(shè)計(jì)目標(biāo)正是針對 VMware ESXi 虛擬機(jī)的（一種流行的企業(yè)虛擬機(jī)平臺(tái)）。

奧地利的知名的病毒安全軟件 Emsisoft 首席技術(shù)官 Fabian Wosar 在媒體采訪中表示，其他勒索軟件集團(tuán)，如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ，他們也創(chuàng)建了自己的 Linux 加密機(jī)。

Wosar稱：“大多數(shù)勒索軟件集團(tuán)，實(shí)施基于 Linux 版本勒索軟件的原因，都是專門針對 ESXi 的”。

有報(bào)道顯示，過去一段時(shí)間 在Snatch 和 PureLocker 的勒索軟件操作里，也使用了 Linux 版本變體進(jìn)行過攻擊。

今年7月和8月份，HelloKitty 、 Blackmate 勒索軟件 Linux 加密機(jī)均被安全研究人員在野外發(fā)現(xiàn)。一個(gè)月后，經(jīng)研究發(fā)現(xiàn)其中一些 Linux 版本的惡意軟件中也存在Bug，可能在加密過程中損壞受害者的文件。

這些，也恰好證實(shí)了上面 Wosar 的說法。

文章轉(zhuǎn)載：SegmentFault
（版權(quán)歸原作者所有，侵刪）

點(diǎn)擊下方“閱讀原文”查看更多