圖片來源: ESET
安全廠商ESET上周發現最近活動猖獗的勒索軟體Hive,現在衍生出Linux及FreeBSD版本,顯示駭客開始鎖定其他目標。
今年6月被首度發現的勒索軟體Hive一開始是鎖定欠缺資安資源的醫療機構,而後受害企業快速增加。今年9月該組織宣稱已成功攻擊了歐洲航空公司、美國企業等28家企業,似乎也包括國內上市鋼鐵公司。
Hive一開始是以Windows系統為攻擊目標,ESET 10月底發現的樣本,則是為Linux及FreeBSD撰寫的Hive變種。
和Windows版一樣,Linux/FreeBSD版也是以Go語言撰寫,但其字串、套件名稱及函式名都被混淆化。不過ESET指出,目前剛被發現的變種可能才剛寫好,問題還很多,例如惡意程式以開採程式執行時還無法加密檔案。相較於Windows版提供5種執行選項,如中止應用行程、跳過不在興趣內或老舊檔案,Linux版只支援單一指令參數。此外,如果未以根權限執行也無法觸發加密,因為它必須在受害者電腦根檔案系統寫入勒索訊息及置入重要檔案。研究人員認為Linux變種還在開發階段。
至於之後的演變,安全專家認為駭客可能是意在虛擬化應用。Bleeping Computer引述Emsisoft技術長Fabian Wosar指出,勒索軟體的作者撰寫Linux版,理由多半是為了要攻擊常見的虛擬平臺VMWare ESXi。
事實上另一家安全公司Netskope分析Hive後認為,Hive極可能也有感染ESXi的能力。
這似乎也反映在其他勒索軟體的演變上。惡名昭彰的REvil今年6月被發現首度加入Linux加密攻擊,攻擊ESXi用戶。HelloKitty、BlackMatter也是後來就加入了Linux加密器元件。
線