REvil 勒索软件移植到 Linux 以进行有针对性的攻击

安全研究人员告知信息安全社区，REvil 勒索软件（负责最近在 JBS Foods 上进行的价值 1100 万美元的勒索软件工作的恶意软件）刚刚收到了 Linux 端口。据与 AT&T Cybersecurity 合作的安全专家称，这个意外的新端口是部分黑客试图针对 VMWare 的 ESXi VM 管理平台以及使用 Linux 作为其操作系统的 NAS 设备。

Threatpost 报道称，AT&T 研究人员发现了基于 Linux 的 REvil 勒索软件版本的四个不同样本。研究人员从 ID Ransomware 平台（在社交媒体平台上统称为 MalwareHunterTeam）背后的人那里收到了一条提示。研究人员分析的样本采用 ELF-64 格式 - 基于 Linux 的操作系统的标准可执行格式。

之所以认为这一发现很有趣，是因为在一般意义上，基于 Unix 和 Linux 的操作系统从不与恶意软件相关联。这既是因为与基于 Windows 的系统相比，运行 Linux 的系统和网络数量有限，也因为 Linux 一直被认为更安全且更难攻破，因为警惕性几乎立即解决了漏洞开发者社区的成员。

这并不是说过去从来没有恶意软件影响过基于 Linux 的操作系统，只是基于 Linux 的恶意软件与基于 Windows 的恶意软件的比例只是一小部分。值得重申的是，今年早些时候，DarkSide 组织也将自己的勒索软件移植到了 Linux。重点是相同的 - VMWare 的 ESXi 基础架构。

REvil 的 Linux 和基于 Windows 的版本之间有许多相似之处。这些包括附加到加密文件的相同扩展名、提供给第三方附属机构的共享标识符以及包含公钥的字符串中使用的 Base64 编码。

REvil 和 DarkSide 威胁组织之间的奇怪竞争如何在新的 Linux 阵线中展开还有待观察。