Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

  • A+
所属分类:安全新闻

安全分析与研究

专注于全球恶意软件的分析与研究

前言

近日,国外安全研究人员爆光了一个Linux平台上疑似Sodinokibi勒索病毒家族最新样本,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

Sodinokibi(REvil)勒索病毒的详细分析以及资料可以参考笔者之前的一些文章,这款勒索病毒黑客组织此前一直以Windows平台为主要的攻击目标,目前首次发现这款勒索病毒Linux平台上的最新变种样本,未来会不会有相关的安全事件爆发,需要持续关注。


分析

笔者从一个恶意软件平台上下载到病毒样本,病毒运行之后,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

样本的基础结构如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

获取勒索病毒中内置的配置文件信息,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

可以发现这个配置文件信息内容与此前Sodinokibi勒索病毒的非常相似,获取到的配置信息,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

生成文件加密后缀名qoxaq,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

生成勒索提示信息文件内容,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

调用esxcli命令关闭虚拟机进程,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

相关的命令行,如下:

esxcli --formatter=csv --format-

param=fields=="WorldID,DisplayName" vm 

process list | awk -F ""*,"*" ',27h,'{system("esxcli vm process kill --type=force --world-id=" $1)}

遍历目录,加密文件,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

加密文件的过程,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

生成的勒索提示信息文件,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

加密完成之后,生成加密完成提示信息,显示一共有多少个文件被加密了,如下所示:

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

通过勒索病毒的代码特征和行为特征,国外安全研究人员将这款勒索病毒归因为Sodinokibi勒索病毒的家族,笔者在访问这款勒索病毒解密网站的时候出现在问题,可以是这勒索病毒黑客组织正在维护解密网站服务器的后台。


笔者之前发现DarkSide这款勒索病毒针对Linux平台VMware ESXI的攻击,最近一款新型的勒索病毒DarkRadiation也是专门针对各种Linux平台进行攻击,笔者后面会给大家进行详细分析介绍,现在Sodinokibi勒索病毒也开始针对Linux平台进行攻击了,可以预测未来可能会有更多的勒索病毒黑客组织将目标转向Linux平台,扩大攻击平台的范围,获取更多的利益。


总结

勒索病毒黑客组织一直在更新,从来没有停止过发起新的攻击,寻找新的目标,未来几年勒索攻击仍然是全球最大的安全威胁,笔者总结出一些勒索攻击发展的几个趋势,供大家参考:

(1)"双重"、"三重"勒索模式逐渐变多,也许会有其他更多的模式出现。

(2)定向攻击勒索,采用APT攻击方式,为了利益最大化,会选择性的攻击行业“头部”大企业。

(3)基于RAAS模式的新型勒索病毒组织会越来越多,同时核心运营团队会逐步形成“小圈子”模式,降低风险,黑客团队会向“精英化”团伙运营模式发展。

(4)通过各种不同的恶意软件分发传播勒索病毒的形式会越来越多。

(5)勒索攻击针对的平台会越来越多,未来针对Linux类系统的云计算平台勒索攻击会增多。

(6)勒索攻击的支付方式可能会变化,除了BTC,黑客还会选择各多其他虚拟货币或其他方式支付。

(7)勒索攻击,企业数据是关键,窃取企业的数据,已经成了勒索攻击一个环节。


往期精彩内容回顾

Sodinokibi(REvil)勒索病毒黑客组织攻击姿势全解

DarkSide针对VMware ESXI系统进行加密

伪装成NodeJS的勒索病毒,勒索呼伦贝尔的空气


安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

如果想了解最新的勒索病毒以及勒索攻击最新的威胁情报,可以加入笔者的勒索病毒专题知识星球,里面包含各种最新的勒索病毒家族信息以及勒索攻击事件等,笔者会持续不断的更新最新的勒索病毒相关的威胁情报。

Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台
Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


本文始发于微信公众号(安全分析与研究):Sodinokibi(REvil)勒索病毒最新变种,攻击Linux平台

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: