卡巴斯基警告:小心新的Luna勒索軟件
卡巴斯基研究人員發現了一個用 Rust 編寫的新勒索軟件系列,名為 Luna,它針對 Windows、Linux 和 ESXi 系統。Luna 勒索軟件是第三個用 Rust 語言編寫的勒索軟件系列,其他惡意軟件品種是BlackCat和Hive。
卡巴斯基暗網威脅情報主動監控系統于 6 月首次發現 Luna 勒索軟件,該系統在暗網勒索軟件論壇上發現了一個新廣告。廣告稱該勒索軟件僅適用于講俄語的分支機構。
據分析勒索軟件命令行選項的專家稱,Luna 相當簡單。加密方案不尋常,因為它結合了 x25519 和 AES。研究人員注意到,與使用相同源代碼編譯的 Linux 和 ESXi 樣本相比,Windows 版本的變化很小。
勒索軟件二進制文件中硬編碼的勒索說明中存在拼寫錯誤,這表明 Luna 勒索軟件背后的行為者是俄羅斯人。
“Luna 證實了跨平臺勒索軟件的趨勢:當前的勒索軟件團伙嚴重依賴 Golang 和 Rust 等語言。一個值得注意的例子包括 BlackCat 和 Hive。這些語言與平臺無關,用這些語言編寫的勒索軟件可以很容易地從一個平臺移植到其他平臺,因此攻擊可以同時針對不同的操作系統。除此之外,跨平臺語言有助于規避靜態分析。” 閱讀卡巴斯基發布的報告。
研究人員還提供了有關另一個名為Black Basta的勒索軟件操作的詳細信息,該操作更新了其惡意軟件以針對 ESXi 系統。
Uptycs 的研究人員首先 報告 了發現支持 VMWare ESXi 服務器加密的新 Black Basta 勒索軟件變種。
此舉旨在擴大潛在目標,對 VMware ESXi 的支持已經被許多勒索軟件系列實現,包括 LockBit、 HelloKitty、 BlackMatter和 REvil。
Black Basta 自 2022 年 4 月以來一直活躍,與其他勒索軟件操作一樣,它實施了雙重勒索攻擊模型。 勒索軟件將 .basta 擴展名附加到加密文件名,并在每個文件夾中創建名為 readme.txt 的勒索記錄。
卡巴斯基研究人員報告說,運營商實施了一項新功能,該功能依賴于在加密之前以安全模式啟動系統,并出于持久性原因模仿 Windows 服務。
在安全模式下啟動 Windows 系統允許 Black Basta 繞過來自多個端點安全解決方案的檢測。
“安全模式重啟功能并不是我們每天都會遇到的,盡管它有它的優勢。例如,某些端點解決方案不會在安全模式下運行,這意味著不會檢測到勒索軟件,并且系統中的文件可以“輕松”加密。” 報告結束。“我們在 之前的博客文章中也討論了一個趨勢,即 ESXi 系統越來越受到攻擊。目的是造成盡可能多的傷害。露娜和黑巴斯塔也不例外。我們預計新變種也將默認支持虛擬機加密。”
