Hive 勒索软件操作已将他们的 VMware ESXi Linux 加密器转换为 Rust 编程语言,并添加了新功能,使安全研究人员更难窥探受害者的赎金谈判。
随着企业越来越依赖虚拟机来节省计算机资源、整合服务器以及更轻松地进行备份,勒索软件团伙正在创建专注于这些服务的专用加密器。
勒索软件团伙的 Linux 加密器通常针对 VMware ESXI 虚拟化平台,因为它们是企业中最常用的。
虽然Hive 一直在使用 Linux 加密器来针对 VMware ESXi 服务器,但最近的一个示例显示他们使用 BlackCat/ALPHV 勒索软件操作首次引入的功能更新了他们的加密器。
Hive 借鉴了 BlackCat 的功能
当勒索软件操作攻击受害者时,他们试图私下进行谈判,告诉受害者如果不支付赎金,他们的数据将被公布,他们的声誉将受到打击。
然而,当勒索软件样本上传到公共恶意软件分析服务时,它们通常会被安全研究人员发现,他们可以提取勒索记录并窥探谈判。
在许多情况下,这些谈判随后会在 Twitter 和其他地方公布,导致谈判失败。
BlackCat 勒索软件团伙从其加密器中删除了 Tor 协商 URL,以防止这种情况发生。相反,它要求在执行加密器时将 URL 作为命令行参数传递。
此功能可防止找到样本的研究人员检索 URL,因为它不包含在可执行文件中,仅在运行时传递给可执行文件。
虽然 Hive 勒索软件已经需要登录名和密码才能访问受害者的 Tor 协商页面,但这些凭据之前存储在加密器可执行文件中,因此很容易检索。
在 Group-IB 安全研究员 rivitna发现的新 Hive Linux 加密器中,Hive 操作现在要求攻击者在启动恶意软件时提供用户名和登录密码作为命令行参数。
通过复制 BlackCat 的策略,Hive 勒索软件操作使得无法从 Linux 恶意软件样本中检索协商登录凭据,这些凭据现在只能在攻击期间创建的赎金记录中使用。
目前尚不清楚 Hive Windows 加密器是否也在使用这个新的命令行参数,但如果没有,我们可能很快就会看到它被添加。
Rivitna 还告诉 BleepingComputer,Hive 继续复制 BlackCat,将他们的 Linux 加密器从 Golang 移植到 Rust 编程语言,以使勒索软件样本更高效,更难进行逆向工程。
“Rust 允许获得更安全、快速和高效的代码,而代码优化使 Rust 程序的分析变得复杂,” rivitna 在 Twitter 上的一次聊天中告诉 BleepingComputer。
由于 VMware ESXi 虚拟机的加密是成功攻击的关键部分,因此勒索软件操作不断改进其代码,不仅要提高效率,而且要对操作和谈判保密。
随着越来越多的企业转向其服务器虚拟化,我们将继续看到勒索软件开发人员不仅专注于 Windows 设备,而且还创建针对 ESXi 的专用 Linux 加密器。
因此,所有安全专业人员和网络管理员都需要密切关注他们的 Linux 服务器以检测攻击迹象。