Hive 勒索软件新变体：专门以 Linux 服务器作为攻击目标｜用 Go 语言编写

技术编辑：MissD丨发自 思否编辑部

据 BleepingComputer 报道，斯洛伐克互联网安全公司 ESET 发现，Hive 勒索软件团伙现已专门针对 Linux 和FreeBSD 这些平台，开发出了新恶意软件变体进行加密。不过，Hive 勒索软件团伙的新加密机仍在开发中缺乏功能。

ESET的研究人员在分析过程中发现，Hive 勒索软件的 Linux 版变体被证明存在明显 Bug ，当恶意软件以显式路径执行时，加密就会完全失败。

此外，该 Linux 版变体还自动支持单个命令行参数（-no-wipe）。相比之下，Hive 的 Windows 版勒索软件最多可提供5种执行选项，如终止进程，跳过磁盘清理、无趣文件和旧文件。

如果没有 root 权限的情况下执行，勒索软件的 Linux 版本变体也是无法触发加密的，因为它试图在受损设备的根文件系统上删除勒索说明。

ESET研究实验室表示：“就像 Windows 版本一样，这些Linux 版本的变体也是用 Go 语言编写的，但是字符串、包名和函数名都被混淆了，很可能是通过混淆工具 gobfuscate 来实现的。”

勒索软件的攻击目标开始转向 Linux 服务器

据了解，勒索软件组织 Hive 至少从 2021 年 6 月份开始活跃，至今已袭击了 30 多个组织（仅包括拒绝支付赎金的受害者）。

然而，Hive 仅是开始拿 Linux 服务器作为攻击目标的众多勒索软件团伙之一。

通过瞄准虚拟机，勒索软件运营商可以用一个命令同时加密多个服务器。

有报道称，早在今年6月份，研究人员就发现了一种叫做 REvil 的新型勒索软件 Linux 加密机，其设计目标正是针对 VMware ESXi 虚拟机的（一种流行的企业虚拟机平台）。

奥地利的知名的病毒安全软件 Emsisoft 首席技术官 Fabian Wosar 在媒体采访中表示，其他勒索软件集团，如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ，他们也创建了自己的 Linux 加密机。

Wosar称：“大多数勒索软件集团，实施基于 Linux 版本勒索软件的原因，都是专门针对 ESXi 的”。

有报道显示，过去一段时间 在Snatch 和 PureLocker 的勒索软件操作里，也使用了 Linux 版本变体进行过攻击。

今年7月和8月份，HelloKitty 、 Blackmate 勒索软件 Linux 加密机均被安全研究人员在野外发现。一个月后，经研究发现其中一些 Linux 版本的恶意软件中也存在Bug，可能在加密过程中损坏受害者的文件。

这些，也恰好证实了上面 Wosar 的说法。

- END -