REvil 勒索軟件移植到 Linux 以進行有針對性的攻擊
安全研究人員告知信息安全社區,負責最近在 JBS Foods 上進行的價值 1100 萬美元的勒索軟件工作的惡意軟件 REvil 勒索軟件剛剛收到了 Linux 端口。據與 AT&T Cybersecurity 合作的安全專家稱,這個意外的新端口是部分黑客試圖針對 VMWare 的 ESXi VM 管理平台以及使用 Linux 作為其操作系統的 NAS 設備。
Threatpost 報導稱,AT&T 研究人員發現了基於 Linux 的 REvil 勒索軟件版本的四個不同樣本。研究人員從 ID Ransomware 平台(在社交媒體平台上統稱為 MalwareHunterTeam)背後的人那裡收到了一條提示。研究人員分析的樣本採用 ELF-64 格式 - 基於 Linux 的操作系統的標準可執行格式。
之所以認為這一發現很有趣,是因為在一般意義上,基於 Unix 和 Linux 的操作系統從不與惡意軟件相關聯。這既是因為與基於 Windows 的系統相比,運行 Linux 的系統和網絡數量有限,也因為 Linux 一直被認為更安全且更難攻破,因為警惕性幾乎立即解決了漏洞開發者社區的成員。
這並不是說過去從來沒有惡意軟件影響過基於 Linux 的操作系統,只是基於 Linux 的惡意軟件與基於 Windows 的惡意軟件的比例只是一小部分。值得重申的是,今年早些時候,DarkSide 組織也將自己的勒索軟件移植到了 Linux。重點是相同的 - VMWare 的 ESXi 基礎架構。
REvil 的 Linux 和基於 Windows 的版本之間有許多相似之處。這些包括附加到加密文件的相同擴展名、提供給第三方附屬機構的共享標識符以及包含公鑰的字符串中使用的 Base64 編碼。
REvil 和 DarkSide 威脅組織之間的奇怪競爭如何在新的 Linux 陣線中展開還有待觀察。