麒麟 vs VMware ESXi:数据安全之战翻开新篇章

阅读量57676

发布时间 : 2023-12-06 11:31:43

高科技的ELF64勒索软件对虚拟机的安全提出了新的挑战。

安全研究人员 发现了 来自 Qilin 组织的一种新型勒索软件,其目标是VMware ESXi服务器。该勒索软件被认为是Linux上最先进和可定制的工具之一。

公司过渡到使用 VMware ESXi 虚拟机,该虚拟机可有效分配 CPU、内存和存储资源,这使其成为网络犯罪分子非常有吸引力的目标。几乎所有勒索组织长期以来都为此类设备创建了专门的勒索软件。

MalwareHunterTeam 的研究人员发现并分析了来自 Qilin 的 ELF64 Linux 勒索软件。事实证明,它的重点是加密虚拟机并删除其快照(机器当前状态的完整快照)。

专家发现的ELF64的主要特点:

  • 能够通过命令行进行配置,允许您更改加密参数;
  • 加密目标的排除和标准,包括进程、目录、文件和文件扩展名;
  • 命令行选项包括调试模式、不加密文件的试运行以及虚拟机及其快照的加密设置。

该勒索软件会检测它是否在 Linux、FreeBSD 或 VMware ESXi 服务器上运行。如果检测到 VMware ESXi,则会使用“esxcli”和“esxcfg-advcfg”命令,这些命令以前在其他勒索软件中从未见过。

虚拟机加密完成后,会创建一张勒索字条,其中包含指向 Tor网络上的 Qilin 组织谈判站点的链接,以及聊天页面的唯一登录信息。安全专家观察到的赎金金额从 25,000 美元到数百万美元不等。

麒麟行动于 2022 年 8 月启动,名称为“Agenda”,但于 9 月更名为“麒麟”。该组织渗透公司网络、窃取数据、跨系统传播并对网络上的设备进行加密。然后利用窃取的数据和加密文件进行双重勒索攻击,迫使企业支付赎金。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66