安全厂商ESET上周发现最近活动猖獗的勒索软件Hive,现在衍生出Linux及FreeBSD版本,显示黑客开始锁定其他目标。
今年6月被首度发现的勒索软件Hive一开始是锁定欠缺安全资源的医疗机构,而后受害企业快速增加。今年9月该组织宣称已成功攻击了欧洲航空公司、美国企业等28家企业,似乎也包括国内上市钢铁公司。
Hive一开始是以Windows系统为攻击目标,ESET 10月底发现的样本,则是为Linux及FreeBSD撰写的Hive变种。
和Windows版一样,Linux/FreeBSD版也是以Go语言撰写,但其字符串、组件名称及函数名都被混淆化。不过ESET指出,目前刚被发现的变种可能才刚写好,问题还很多,例如恶意程序以开采程序执行时还无法加密文件。相较于Windows版提供5种执行选项,如中止应用行程、跳过不在兴趣内或老旧文件,Linux版只支持单一举令参数。此外,如果未以根权限执行也无法触发加密,因为它必须在受害者计算机根文件系统写入勒索消息及置入重要文件。研究人员认为Linux变种还在开发阶段。
至于之后的演变,安全专家认为黑客可能是意在虚拟化应用。Bleeping Computer引述Emsisoft首席技术官Fabian Wosar指出,勒索软件的作者撰写Linux版,理由多半是为了要攻击常见的虚拟平台VMWare ESXi。
事实上另一家安全公司Netskope分析Hive后认为,Hive极可能也有感染ESXi的能力。
这似乎也反映在其他勒索软件的演变上。恶名昭彰的REvil今年6月被发现首度加入Linux加密攻击,攻击ESXi用户。HelloKitty、BlackMatter也是后来就加入了Linux加密器组件。