針對(duì)Linux的勒索軟件木馬現(xiàn)身,屬于RansomEXX變種
近日卡巴斯基(Kaspersky)發(fā)現(xiàn)某已知勒索軟件幫派部署了一種針對(duì)Linux的文件加密木馬。
卡巴斯基安全研究員指出:“這是一個(gè)全新的文件加密木馬,屬于ELF可執(zhí)行文件,能夠?qū)inux電腦上的數(shù)據(jù)進(jìn)行加密。”
該木馬類(lèi)似于現(xiàn)有的RansomEXX木馬,后者在上周剛剛被用于攻擊巴西法院以及美國(guó)和其他地區(qū)的目標(biāo)。
卡巴斯基總結(jié)說(shuō):“該木馬的贖金提示與RansomEXX的非常類(lèi)似,因此很可能是RansomEXX的Linux變種。”
RansomEXX的Linux變種與其他勒索軟件家族的功能幾乎沒(méi)有交集,例如不包含命令控制服務(wù)器的回呼功能或常見(jiàn)的反分析“技巧”,因此這是一個(gè)很純粹、很“基本”的勒索軟件。一旦部署,該Linux木馬的存在對(duì)用戶(hù)和網(wǎng)絡(luò)管理員都是顯而易見(jiàn)的,因?yàn)橐磺卸纪V构ぷ髁耍聊簧巷@示要求支付贖金的彈窗提示。除非攻擊者想要提取加密數(shù)據(jù)以供二次銷(xiāo)售或勒索,否則不需要混淆和回呼功能。
“基本”的勒索軟件攻擊通常由攻擊者進(jìn)行部署,這些攻擊者會(huì)提前入侵網(wǎng)絡(luò)。例如,在十月份的芬蘭,心理治療診所的患者的臨床記錄被盜并在線(xiàn)發(fā)布。本地報(bào)告顯示,在醫(yī)療數(shù)據(jù)被在線(xiàn)泄露之前,攻擊者已經(jīng)訪(fǎng)問(wèn)了診所的網(wǎng)絡(luò)。
同樣,在2018年將Magecart植入英國(guó)航空公司卡付款頁(yè)面的罪犯就一直潛伏在該航空公司的公司網(wǎng)絡(luò)內(nèi)部,只是在轉(zhuǎn)儲(chǔ)碰巧包含未加密存儲(chǔ)的信用卡詳細(xì)信息的數(shù)據(jù)庫(kù)后才被發(fā)現(xiàn)。攻擊者的突破口是承包商用戶(hù)帳戶(hù)的弱密碼,并進(jìn)而訪(fǎng)問(wèn)了更廣泛的英航內(nèi)部網(wǎng)絡(luò)。
勒索軟件之所以頻頻得手,主要是企業(yè)未能定期修補(bǔ)漏洞,以及保持良好的密碼衛(wèi)生和啟用多因素身份驗(yàn)證。正如網(wǎng)絡(luò)安全機(jī)構(gòu)Positive Technologies所指出的:“大多數(shù)攻擊都在中等黑客的能力范圍內(nèi),所需要的也往往只是一些基本技能。”
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
