圖片來源: 

Palo Alto Networks

今年2月,製作電玩《電馭叛客2077》(Cyberpunk 2077)開發商的CD Projekt,驚傳遭到勒索軟體攻擊,後來有資安業者指出,攻擊的勒索軟體名為HelloKitty。但資安業者Palo Alto Networks指出,目前這款勒索軟體發展出Linux版本,自今年3月開始鎖定伺服器虛擬化平臺VMware ESXi,且已有受害組織並支付贖金

HelloKitty最早大約是自2020年底開始出現,主要鎖定Windows作業系統,根據資安公司FireEye的發現,它是從另一款稱做DeathRansom的勒索軟體衍生而來的變種,為了避免受害者透過備份資料復原,HelloKitty會刪除Windows電腦的磁碟區陰影複製(Volume Shadow Copy)內容。

在今年7月中旬,資安研究組織MalwareHunterTeam就發現了數個鎖定VMware ESXi的HelloKitty勒索軟體,自3月開始發動攻擊,使用ESXi命令列工具(esxcli)關閉虛擬機器(VM),但並未提及受害規模。

而對於這款勒索軟體的近況,Palo Alto提出了更多的發現。該公司指出,這款勒索軟體發展可說是相當迅速,近期的版本更是透過Go語言編譯,而且只會在記憶體內載入、執行,這麼做的目的,很可能是為了迴避資安防護系統的偵測。

Palo Alto表示,他們在2021年7月,發現檔案名稱為funny_linux.elf的勒索軟體,其中的勒索訊息,措辭與Windows版的HelloKitty相符,他們進一步追查發現, Linux版的HelloKitty,最早約從2020年10月開始發展,並在2021年3月開始攻擊VMware ESXi,研究人員觀察到有6個受影響的組織。

這些組織分別是:義大利與荷蘭製藥組織、德國製造商、澳洲工業自動化解決方案業者,以及位於美國的醫療辦公室與股票經紀人。

研究人員發現,攻擊者疑似依據受害組織的規模,而開出不同的贖金價碼,他們看到駭客收取的是門羅幣,金額最高的是1千萬美元,最低的則是95萬美元,落差相當大。除了門羅幣,這些駭客也接受以比特幣支付的贖金,但Palo Alto表示,受害組織若是使用比特幣付贖金,攻擊者會收取較高的金額。而研究人員根據駭客提供的比特幣錢包位址進行追蹤,駭客收到3筆款項,總計1,477,872.41美元。

而對於攻擊者向受害組織勒索的方式,Palo Alto也從勒索訊息中看到不同的內容,在不同受害組織的HelloKitty軟體裡,駭客留下的聯絡方式,同時具備洋蔥網路(Tor)的網址,以及針對受害單位的Protonmail電子郵件信箱,研究人員依據這個現象研判,可能有多組攻擊者使用相同的惡意軟體程式碼基礎(Codebase)。不過,其中一個受害組織收到的勒索訊息裡,駭客沒有留下聯絡資訊。

熱門新聞

Advertisement