Hive勒索软件的新变种:用Go语言编写|现在专门针对Linux服务器和FreeBSD开发了用于加密的新恶意软件变体。然而,Hive勒索软件团伙的新型加密机仍在开发中,缺乏功能。在他们的分析过程中,ESET研究人员发现Hive勒索软件的一个Linux变体被证明存在一个明显的错误,当恶意软件以显式路径执行时,加密完全失败。此外,此Linux变体自动支持单个命令行参数(-no-wipe)。相比之下,Hive的Windows勒索软件提供了多达五个执行选项,例如终止进程、跳过磁盘清理、不感兴趣的文件和旧文件。如果在没有root权限的情况下执行,勒索软件的Linux变体也无法触发加密,因为它试图在受感染设备的根文件系统上放置勒索票据。“与Windows版本一样,这些Linux变体是用Go编写的,但字符串、包名和函数名都被混淆了,很可能是使用混淆工具gobfuscate,”ESET研究实验室说。据了解,勒索软件组织Hive至少从2021年6月开始活跃,迄今已攻击30多家组织(仅包括拒绝支付赎金的受害者)。然而,Hive只是众多开始针对Linux服务器的勒索软件团伙之一。通过以虚拟机为目标,勒索软件操作员可以使用单个命令同时加密多个服务器。早在6月,研究人员就报告称,一种名为REvil的新型勒索软件Linux加密器旨在针对VMwareESXi虚拟机,这是一种流行的企业虚拟机平台。奥地利知名病毒安全软件Emsisoft首席技术官FabianWosar在接受媒体采访时表示,Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide、Hellokitty等其他勒索软件组织也已经创建了自己的勒索软件。自己的Linux加密机。“大多数勒索软件组织实施基于Linux的勒索软件版本的原因是专门针对ESXi,”Wosar说。有报道称,Linux变体过去也曾用于Snatch和PureLocker勒索软件操作。今年7月和8月,安全研究人员在野外发现了HelloKitty和Blackmate勒索软件Linux加密机。一个月后,研究表明,该恶意软件的某些Linux版本也存在漏洞,可能会在加密过程中损坏受害者的文件。这些也正好印证了沃萨尔上面所说的。
