信息來源:Freebuf
近日,卡巴斯基發(fā)出警告,他們監(jiān)測到一種名為Luna的新型勒索軟件系列正在肆虐。Luna可加密運行多個操作系統(tǒng)的設(shè)備,包括 Windows、Linux 和 ESXi 等主流操作系統(tǒng)。
卡巴斯基安全研究人員在公司暗網(wǎng)威脅情報主動監(jiān)控系統(tǒng)中的某個暗網(wǎng)勒索軟件論壇廣告發(fā)現(xiàn)了Luna 勒索軟件的身影,有意思的是,該勒索軟件似乎專門是為講俄語的攻擊者所設(shè)計。
卡巴斯基在報告中指出,Luna的背景和俄語密不可分,例如它只與講俄語勒索組織進行合作;而在它的二進制文件中硬編碼的贖金記錄存在語法拼寫錯誤,習(xí)慣性拼寫“a little team”而不是“a small team”。這意味著,Luna背后的勒索組織必定是以俄語交流為主。
在俄語中,Luna的意思是“月球”,截止到目前,Luna還是一款較為基礎(chǔ)的勒索軟件,深度功能還在開發(fā)之中,且基于可用的命令行選項功能有限。但是這依舊需要引起注意,因為Luna使用了一種不太常見的加密方案,使用了X25519 橢圓曲線 Diffie-Hellman 密鑰交換與高級加密標(biāo)準(zhǔn) (AES) 對稱加密算法相結(jié)合。
基于 Rust 的跨平臺勒索軟件
勒索組織在Rust中開發(fā)了這種新型的勒索軟件,并利用其與平臺無關(guān)的特性將其移植到多個平臺,而對源代碼的更改很少。
Luna 證實了跨平臺勒索軟件的趨勢:當(dāng)前的勒索軟件團伙嚴(yán)重依賴 Golang 和 Rust 等語言。一個值得注意的例子包括 BlackCat 和 Hive。這些語言與平臺無關(guān),用這些語言編寫的勒索軟件可以很容易地從一個平臺移植到其他平臺,因此攻擊可以同時針對不同的操作系統(tǒng)。
例如Linux 和 ESXi 樣本都是使用相同的源代碼編譯,與 Windows 版本相比有一些細微的變化。其余代碼與 Windows 版本相比沒有重大變化。除此之外,跨平臺語言有助于規(guī)避靜態(tài)分析。
卡巴斯基表示,鑒于該組織剛剛被發(fā)現(xiàn)并且其活動仍在受到監(jiān)控,因此關(guān)于使用 Luna 勒索軟件對哪些受害者進行加密的數(shù)據(jù)非常少。
參考來源:https://www.bleepingcomputer.com/news/security/new-luna-ransomware-encrypts-windows-linux-and-esxi-systems/