高科技的ELF64勒索软件对虚拟机的安全提出了新的挑战。
安全研究人员 发现了 来自 Qilin 组织的一种新型勒索软件,其目标是VMware ESXi服务器。该勒索软件被认为是Linux上最先进和可定制的工具之一。
公司过渡到使用 VMware ESXi 虚拟机,该虚拟机可有效分配 CPU、内存和存储资源,这使其成为网络犯罪分子非常有吸引力的目标。几乎所有勒索组织长期以来都为此类设备创建了专门的勒索软件。
MalwareHunterTeam 的研究人员发现并分析了来自 Qilin 的 ELF64 Linux 勒索软件。事实证明,它的重点是加密虚拟机并删除其快照(机器当前状态的完整快照)。
专家发现的ELF64的主要特点:
- 能够通过命令行进行配置,允许您更改加密参数;
- 加密目标的排除和标准,包括进程、目录、文件和文件扩展名;
- 命令行选项包括调试模式、不加密文件的试运行以及虚拟机及其快照的加密设置。
该勒索软件会检测它是否在 Linux、FreeBSD 或 VMware ESXi 服务器上运行。如果检测到 VMware ESXi,则会使用“esxcli”和“esxcfg-advcfg”命令,这些命令以前在其他勒索软件中从未见过。
虚拟机加密完成后,会创建一张勒索字条,其中包含指向 Tor网络上的 Qilin 组织谈判站点的链接,以及聊天页面的唯一登录信息。安全专家观察到的赎金金额从 25,000 美元到数百万美元不等。
麒麟行动于 2022 年 8 月启动,名称为“Agenda”,但于 9 月更名为“麒麟”。该组织渗透公司网络、窃取数据、跨系统传播并对网络上的设备进行加密。然后利用窃取的数据和加密文件进行双重勒索攻击,迫使企业支付赎金。
发表评论
您还未登录,请先登录。
登录