卡巴斯基研究人员发现了一个用 Rust 编写的新勒索软件系列,名为 Luna,它针对 Windows、Linux 和 ESXi 系统。Luna 勒索软件是第三个用 Rust 语言编写的勒索软件系列,其他恶意软件品种是BlackCat和Hive。
卡巴斯基暗网威胁情报主动监控系统于 6 月首次发现 Luna 勒索软件,该系统在暗网勒索软件论坛上发现了一个新广告。广告称该勒索软件仅适用于讲俄语的分支机构。
据分析勒索软件命令行选项的专家称,Luna 相当简单。加密方案不寻常,因为它结合了 x25519 和 AES。研究人员注意到,与使用相同源代码编译的 Linux 和 ESXi 样本相比,Windows 版本的变化很小。
勒索软件二进制文件中硬编码的勒索说明中存在拼写错误,这表明 Luna 勒索软件背后的行为者是俄罗斯人。
“Luna 证实了跨平台勒索软件的趋势:当前的勒索软件团伙严重依赖 Golang 和 Rust 等语言。一个值得注意的例子包括 BlackCat 和 Hive。这些语言与平台无关,用这些语言编写的勒索软件可以很容易地从一个平台移植到其他平台,因此攻击可以同时针对不同的操作系统。除此之外,跨平台语言有助于规避静态分析。” 阅读卡巴斯基发布的报告。
研究人员还提供了有关另一个名为Black Basta的勒索软件操作的详细信息,该操作更新了其恶意软件以针对 ESXi 系统。
Uptycs 的研究人员首先 报告 了发现支持 Vmware ESXi 服务器加密的新 Black Basta 勒索软件变种。
此举旨在扩大潜在目标,对 VMware ESXi 的支持已经被许多勒索软件系列实现,包括 LockBit、 HelloKitty、 BlackMatter和 REvil。
Black Basta 自 2022 年 4 月以来一直活跃,与其他勒索软件操作一样,它实施了双重勒索攻击模型。 勒索软件将 .basta 扩展名附加到加密文件名,并在每个文件夹中创建名为 readme.txt 的勒索记录。
卡巴斯基研究人员报告说,运营商实施了一项新功能,该功能依赖于在加密之前以安全模式启动系统,并出于持久性原因模仿 Windows 服务。
在安全模式下启动 Windows 系统允许 Black Basta 绕过来自多个端点安全解决方案的检测。
“安全模式重启功能并不是我们每天都会遇到的,尽管它有它的优势。例如,某些端点解决方案不会在安全模式下运行,这意味着不会检测到勒索软件,并且系统中的文件可以“轻松”加密。” 报告结束。“我们在 之前的博客文章中也讨论了一个趋势,即 ESXi 系统越来越受到攻击。目的是造成尽可能多的伤害。露娜和黑巴斯塔也不例外。我们预计新变种也将默认支持虚拟机加密。”
