网络攻击者现在还制作他们的勒索软件的Linux版本

2020-11-08 09:57:15

安全公司卡巴斯基(Kaspersky)今天表示,他们发现了RansomEXX勒索软件的Linux版本,这标志着Windows勒索软件的一个主要漏洞首次被移植到Linux上,以帮助进行有针对性的入侵。

RansomEXX是一种相对较新的勒索软件毒株,今年早些时候在6月份首次发现。

该勒索软件已被用来攻击德克萨斯州交通部、柯尼卡美能达、美国政府承包商泰勒技术公司、蒙特利尔的公共交通系统,最近还被用来攻击巴西的法院系统(STJ)。

RansomEXX是安全研究人员所称的大型猎人或人操作的勒索软件。这两个术语用来形容勒索软件集团,它们在知道一些公司或政府机构无法在恢复系统的同时,追捕大型目标,以求大赚一笔。

这些组织自己购买访问权或侵入网络,尽可能扩大对更多系统的访问权,然后手动部署他们的勒索软件二进制文件作为最终有效负载,以尽可能多地削弱目标的基础设施。

但在过去的一年里,这些组织的运作方式发生了范式转变。

许多勒索软件团伙已经意识到,首先攻击工作站并不是一笔有利可图的交易,因为公司往往会重新镜像受影响的系统,然后在不支付赎金的情况下继续前进。

近几个月来,在许多事件中,一些勒索软件团伙没有费心加密工作站,而是首先瞄准了公司网络中的关键服务器,因为他们知道,如果首先关闭这些系统,公司将无法访问其集中的数据宝藏,即使工作站没有受到影响。

RansomEXX帮派创建了他们的Windows勒索软件的Linux版本,这与今天许多公司的运营情况是一致的,许多公司在Linux上运行内部系统,而不是总是在Windows Server上运行。

从攻击者的角度来看,Linux版本是完全有意义的;他们总是寻求扩大和触及尽可能多的核心基础设施,以求削弱公司并要求更高的赎金。

我们从RansomEXX看到的可能很快就会成为一个行业定义的趋势,其他大型勒索软件集团也会在未来推出他们的Linux版本。

而且,这一趋势似乎已经开始。根据网络安全公司Emsisoft的说法,除了RansomEXX,Mespinoza(PYSA)勒索软件团伙最近还在他们最初的Windows版本的基础上开发了一个Linux变体。

但Linux勒索软件也不是独一无二的。在过去的几年里,其他勒索软件团伙也创造了Linux勒索软件菌株,比如Snatch Group。然而,这些组织都是小规模的行动,依靠垃圾邮件活动来感染受害者,很少成功,也没有像我们今天看到的当代勒索软件组织那样进行有针对性的入侵。

Emsisoft表示,他们检测到的RansomEXX Linux变种早在7月份就可以看到。由于大型猎人勒索软件团队的操作方式,配置系统来检测RansomEXX Linux变体并不是一个可靠的策略。当攻击者部署勒索软件时,他们已经拥有了一家公司的大部分网络。针对这些类型的入侵,公司可以采取的最佳策略是对网关设备应用安全补丁,并确保它们没有被错误配置为弱凭据或默认凭据,从而保护网络边界。