技術編輯：MissD丨發自 思否編輯部

據 BleepingComputer 報道，斯洛伐克網際網路安全公司 ESET 發現，Hive 勒索軟體團伙現已專門針對 Linux 和FreeBSD 這些平臺，開發出了新惡意軟體變體進行加密。不過，Hive 勒索軟體團伙的新加密機仍在開發中缺乏功能。

ESET的研究人員在分析過程中發現，Hive 勒索軟體的 Linux 版變體被證明存在明顯 Bug ，當惡意軟體以顯式路徑執行時，加密就會完全失敗。

此外，該 Linux 版變體還自動支援單個命令列引數（-no-wipe）。相比之下，Hive 的 Windows 版勒索軟體最多可提供5種執行選項，如終止程序，跳過磁碟清理、無趣檔案和舊檔案。

如果沒有 root 許可權的情況下執行，勒索軟體的 Linux 版本變體也是無法觸發加密的，因為它試圖在受損裝置的根檔案系統上刪除勒索說明。

ESET研究實驗室表示：“就像 Windows 版本一樣，這些Linux 版本的變體也是用 Go 語言編寫的，但是字串、包名和函式名都被混淆了，很可能是透過混淆工具 gobfuscate 來實現的。”

勒索軟體的攻擊目標開始轉向 Linux 伺服器

據瞭解，勒索軟體組織 Hive 至少從 2021 年 6 月份開始活躍，至今已襲擊了 30 多個組織（僅包括拒絕支付贖金的受害者）。

然而，Hive 僅是開始拿 Linux 伺服器作為攻擊目標的眾多勒索軟體團伙之一。

透過瞄準虛擬機器，勒索軟體運營商可以用一個命令同時加密多個伺服器。

有報道稱，早在今年6月份，研究人員就發現了一種叫做 REvil 的新型勒索軟體 Linux 加密機，其設計目標正是針對 VMware ESXi 虛擬機器的（一種流行的企業虛擬機器平臺）。

奧地利的知名的病毒安全軟體 Emsisoft 首席技術官 Fabian Wosar 在媒體採訪中表示，其他勒索軟體集團，如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ，他們也建立了自己的 Linux 加密機。

Wosar稱：“大多數勒索軟體集團，實施基於 Linux 版本勒索軟體的原因，都是專門針對 ESXi 的”。

有報道顯示，過去一段時間 在Snatch 和 PureLocker 的勒索軟體操作裡，也使用了 Linux 版本變體進行過攻擊。

今年7月和8月份，HelloKitty 、 Blackmate 勒索軟體 Linux 加密機均被安全研究人員在野外發現。一個月後，經研究發現其中一些 Linux 版本的惡意軟體中也存在Bug，可能在加密過程中損壞受害者的檔案。

這些，也恰好證實了上面 Wosar 的說法。

- END -