前言
最近黑客组织利用DarkSide勒索病毒对Colonial Pipeline 发起勒索攻击,国内外各大安全厂商和安全媒体也都有相关报道,DarkSide勒索软件是从2020年8月出现,并以(RAAS)勒索即服务的商业模式进行运作,此勒索病毒不仅可以部署基于Windows的勒索病毒样本攻击Windows计算机,而且还可以部署ELF二进制文件版本,用来攻击Linux计算机上的数据。与Windows勒索病毒版本不同的是,DarkSide勒索病毒Linux版本专门针对VMware EXSI虚拟机文件进行加密。
勒索病毒
笔者从某地下恶意软件论坛下载到该病毒样本,该勒索病毒运行之后,如下所示:
该勒索病毒会加密VMware EXSI管理系统在/vmfs/volumes/目录下的后缀名为vmdk,vmem,vswp,log等的虚拟机文件,勒索提示信息文件,如下所示:
同时该勒索病毒还会获取VMware EXSI系统的主机用户名等相关信息,发送到DarkSide勒索病毒的远程服务器,同时勒索病毒会在/tmp下生成software.log日志文件,如下所示:
在2020年2月份CrowdStrike的研究人员就发现有两个黑客组织Sprite Spider和Carbon Spider企图对VMware ESXI虚拟机系统管理程序进行攻击,而且这种有针对性的大规模勒索软件活动被称为大型游戏狩猎(BGH),Sprite Spider组织会利用Defray777发起勒索攻击,而Carbon Spider组织会利用DarkSide发起勒索攻击。
2021年3月中旬,国内外又有大量用户反馈,自己的虚拟机被加密,无法连接,生产环境停线等,通过安全专家调查发现VMware ESXI系统虚拟机文件被加密无法打开,所以安全厂商猜测是黑客组织对之前的攻击行为进行了升级,使用了VMware EXSI的最新的漏洞发起勒索病毒攻击。
其实早在CrowdStrike报道之前,最早DarkSide应该在2020年11月就被发现用于攻击VMware EXSI虚拟机管理程序,加密VMware EXSI虚拟机文件,只是当时的攻击手法跟Defray777勒索病毒的攻击手法不一样,笔者研究的这个DarkSide样本也是2020年11月被最早发现的那个样本。
总结
Carbon Spider黑客组织之前一直通过部署Sodinokibi勒索病毒来进行勒索攻击,2020年8月才首次推广自己的DarkSide勒索软件,也是为了避免与Sodinokibi勒索病毒的供应商Pinchy Spider共享利润,根据国外安全厂商或研究人员监控,从2020年8月到2021年5月,DarkSide勒索病毒背后的黑客组织一直没有停止对全球发起网络攻击活动,相关的受害国家和企业,如下所示:
不仅仅是DarkSide勒索病毒在不断发起攻击,其他主流的几款勒索病毒也是一样的,他们不断的寻找的新的目标,谁将会是下一个被攻击的目标呢?
勒索病毒在未来几年仍然是最大的网络安全威胁之一,只是随着越来越多技术成熟的黑客组织加入进来,勒索攻击会变的越来越复杂,使用的技术手段会更多,利用的漏洞也会更多,攻击的平台也会越多,同时勒索病毒攻击已经发展成以定向攻击为主要攻击方式。
其实Linux下的勒索病毒几年前就已经出现了,笔者在四年多以前就分析过一款Linux 勒索病毒KillDisk,有兴趣可以去参考笔者之前写的文章,文章链接:https://xz.aliyun.com/t/284,如下所示:
现在大部分勒索病毒仍然以Windows平台为主,好几年前笔者还分析过很多安卓平台锁屏类勒索病毒,随着云计算的发展,早在2019年开始,一些黑客组织就已经把攻击目标转向了云计算,开始对全球各地的云计算服务器进行大规模的扫描行动,寻找着下一个攻击目标……
更多勒索病毒相关信息,可以查看笔者之前写的
同时如果你对恶意软件威胁情报感兴趣,可以加入我的全球恶意软件研究中心专业群,群里有很多优秀的恶意软件分析与研究从业人员,也有很多不错的刚入道的年轻人,他们当中有些人真的是在踏踏实实的分析和研究恶意软件,非常不错,安全行业还是有很多不错的年轻人的,就像笔者之前所说的,安全行业在未来的5-10年时间将是一个全新的发展黄金时期,需要更多这样的愿意花时间和精力研究安全技术的年轻人,坚持做安全研究,大家一起努力,共同进步,在分析和研究过程中遇到什么问题,可以在群里交流讨论,互相帮助。
安全的路很长,贵在坚持!
