3月勒索软件HelloKitty锁定VMware ESXi发动攻击

今年2月,制作电玩《电驭叛客2077》(Cyberpunk 2077)开发商的CD Projekt,惊传遭到勒索软件攻击,后来有安全企业指出,攻击的勒索软件名为HelloKitty。但安全企业Palo Alto Networks指出,目前这款勒索软件发展出Linux版本,自今年3月开始锁定服务器虚拟化平台VMware ESXi,且已有受害组织并支付赎金。

HelloKitty最早大约是自2020年底开始出现,主要锁定Windows操作系统,根据安全公司FireEye的发现,它是从另一款称作DeathRansom的勒索软件衍生而来的变种,为了避免受害者通过备份资料恢复,HelloKitty会删除Windows计算机的磁盘区阴影复制(Volume Shadow Copy)内容。

在今年7月中旬,安全研究组织MalwareHunterTeam就发现了数个锁定VMware ESXi的HelloKitty勒索软件,自3月开始发动攻击,使用ESXi命令行工具(esxcli)关闭虚拟机(VM),但并未提及受害规模。

而对于这款勒索软件的近况,Palo Alto提出了更多的发现。该公司指出,这款勒索软件发展可说是相当迅速,近期的版本更是通过Go语言编译,而且只会在内存内加载、执行,这么做的目的,很可能是为了回避安全防护系统的侦测。

Palo Alto表示,他们在2021年7月,发现文件名称为funny_linux.elf的勒索软件,其中的勒索消息,措辞与Windows版的HelloKitty相符,他们进一步追查发现,Linux版的HelloKitty,最早约从2020年10月开始发展,并在2021年3月开始攻击VMware ESXi,研究人员观察到有6个受影响的组织。

这些组织分别是:意大利与荷兰制药组织、德国制造商、澳洲工业自动化解决方案企业,以及位于美国的医疗办公室与股票经纪人。

研究人员发现,攻击者疑似依据受害组织的规模,而开出不同的赎金价格,他们看到黑客收取的是门罗币,金额最高的是1千万美元,最低的则是95万美元,落差相当大。除了门罗币,这些黑客也接受以比特币支付的赎金,但Palo Alto表示,受害组织若是使用比特币付赎金,攻击者会收取较高的金额。而研究人员根据黑客提供的比特币钱包地址进行关注,黑客收到3笔款项,总计1,477,872.41美元。

而对于攻击者向受害组织勒索的方式,Palo Alto也从勒索消息中看到不同的内容,在不同受害组织的HelloKitty软件里,黑客留下的联系方式,同时具备洋葱网络(Tor)的网址,以及针对受害单位的Protonmail电子邮件信箱,研究人员依据这个现象研判,可能有多组攻击者使用相同的恶意软件程序代码基础(Codebase)。不过,其中一个受害组织收到的勒索消息里,黑客没有留下联系信息。