新型RedAlert勒索病毒针对VMWare ESXi服务器

前言

RedAlert勒索病毒又称为N13V勒索病毒,是一款2022年新型的勒索病毒,最早于2022年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告,如下所示:

该企业公告表明:尚不能肯定数据库被泄露了,但出于透明度的考虑,已经预防性地通知了客户,根据目前的掌握的情况,攻击者并没有入侵企业的中央数据库,仍然可以通过电子邮件和电话访问,正在进行的项目也没有受到威胁,预计下周将全面恢复系统。

从申明上看该企业还是很负责的,对自己的客户并没有隐瞒受黑客攻击的事实,同时还采取了积极的应对方式,寻求安全专家对企业事件进行取证分析。

随着云计算的发展,越来越多的黑客组织开始将目标瞄准云计算业务,最近出现的一些新型的勒索病毒都开始针对VMWare EXSi服务器进行攻击,前不久笔者分享了Black Basta勒索病毒的分析文章,今天再给大家分析一下RedAlert这款新型的勒索病毒。

详细分析

1.从样本反编译的注释中可以发现该勒索病毒被其黑客组织内部称为N13V,如下所示:

2.该勒索病毒可传递的参数,如下所示:

通过不同的参数执行不同的操作。

3.使用-w参数,使用esxcli命令强制关闭VM虚拟机服务器,如下所示:

4.使用-p参数,加密指定目录的文件,如下所示:

生成的加密配置文件内容,如下所示:

加密完成之后,会在当前目录生成勒索提示信息文件HOW_TO_RESTORE,内容如下所示:

通过分析该勒索提示信息文件,可以发现黑客组织应该是使用了自定义的勒索病毒样本攻击受害者,每个受害者都会生成特定的勒索提示信息以及相应的暗网网站地址,即一个受害者对应一个勒索提示信息和一个暗网网站数据地址链接,在入侵企业网络之后通过该勒索病毒RAAS平台生成对应的勒索病毒攻击样本。

5.使用-x进行该勒索病毒加密性能测试,如下所示:

6.加密后的文件后缀名为crypt658,如下所示:

7.初始化硬编码的公钥加密密钥信息,利用NTRUEncrypt公钥加密算法,如下所示:

并将密钥信息写入到配置文件当中,生成该勒索病毒的配置文件信息,如下所示:

8.遍历磁盘目录文件,如下所示:

如果是以下后缀名列表的文件,则加密该文件,需要加密的文件名后缀列表,如下所示:

9.使用ChaCha20-Poly1305加密算法加密文件,如下所示:

10.加密完成之后,生成勒索提示信息文件,如下所示:

勒索提示信息内容,如下所示:

到此这款新型的勒索病毒算是分析完了,该勒索病毒使用了新式加密算法,涉及到的加密算法主要为:NTRUEncrypt和ChaCha20-Poly1305,从勒索提示信息文件可以发现该勒索病毒攻击应该主要以人工定向攻击活动为主,针对特定的企业进行攻击,盗取企业重要数据之后,再使用勒索病毒RAAS平台生成对应的勒索病毒家族样本,进行加密勒索,目前该勒索病毒暂未发现有大规模的攻击活动,但各企业需要保持警惕,勒索病毒黑客组织一直在寻找新的攻击目标,全球各地勒索攻击威胁事件每天都在发现,各大主流勒索病毒暗网网站上有受害者正在不断增加。

一些主流的APT组织也已经加入到勒索攻击活动当中,从以前单一的勒索攻击到现在发展成四重勒索攻击(加密勒索、数据窃取、DDoS攻击、骚扰攻击受害者企业的客户),黑客组织仍然在不断更新他们的运营模式,勒索攻击在未来几年仍然会非常流行,同时也仍然是企业面临的最大的安全威胁之一,随着一些老牌成熟APT黑客组织的加入,会让勒索攻击变的更加复杂与多变,勒索攻击的技术也会越来越高级。

总结

针对Linux平台的勒索病毒最近一两年开始变得活跃,几大主流的勒索病毒黑客组织都纷纷加入到对Linux平台的勒索攻击活动当中,同时黑客组织也在不断开发新型勒索病毒家族,由于此前Conti和Babuk两款主流勒索病毒源代码被泄露,最近出现的一些新型的勒索病毒家族变种就是基于这两款开源代码进行二次修改开发的,RedAlert的出现让针对Linux平台的勒索病毒又增加了一名新的家族成员,可以预测随着云计算的发展未来会有更多针对Linux平台的新型勒索病毒出现。

其实针对Linux平台的恶意软件家族也分为很多种类,此前Linux平台上的恶意软件家族大多数以XorDDoS/BillGates等僵尸网络以及各种挖矿木马(TeamTNT、WorkMiner、DDG、8220)为主,随着基于Linux平台IOT物联网设备的流行与发展,在这些平台上黑客开发出了各种基于Linux平台的IOT物联网僵尸网络家族,其中代表性的两大家族就是Mirai和Mozi,随着云计算的发展,越来越多的云计算服务器是基于Linux平台的,勒索病毒黑客组织也将攻击目标转向云计算,导致Linux平台上的勒索病毒家族也开始流行起来,Linux平台上不仅仅只有僵尸网络、勒索病毒,还包含各种木马远控后门(Rekoobe、OldFox、HabitsRAT、BellaRAT、TheFatRAT、Symbiote等),一些APT黑客组织(HackingTeam、Lazarus、Turla、Equation、SideCopy等)也早就在开发基于Linux平台的恶意软件,黑客组织会通过各种不同的手段来传播这些恶意软件,目前主流的一些手段主要就是:钓鱼水坑攻击、供应链攻击、网站挂马、捆绑软件、社会工程、以及利用曝光的一些最新的漏洞等,全球每天都在发现各种安全威胁事件,其中大部分的安全事件都与恶意软件有关,这些恶意软件会针对攻击目标的重要数据进行窃密、破坏和勒索,比方APT组织的窃密木马后门恶意软件,俄乌网络战中Wiper破坏性恶意软件家族,还有现在最流行的勒索病毒恶意软件等,全球比较流行的与恶意软件相关的攻击事件包含勒索攻击、挖矿木马、僵尸网络、APT窃密攻击以及各种博彩黑灰产挂马攻击等。

笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析这些安全事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/673937.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HCIA-HarmonyOS设备开发认证V2.0-3.2.轻量系统内核基础-任务管理

目录 一、任务管理1.1、任务状态1.2、任务基本概念1.3、任务管理使用说明1.4、任务开发流程1.5、任务管理接口 一、任务管理 从系统角度看,任务是竞争系统资源的最小运行单元。任务可以使用或等待CPU、使用内存空间等系统资源,并独立于其它任务运行。 O…

C语言操作符详解

操作符的分类 • 算数操作符 &#xff1a; 、 - 、 * 、 / 、 % • 移位操作符 &#xff1a; << 、 >> • 位操作符 &#xff1a; & 、 | 、 ^ • 赋值操作符 &#xff1a; 、 、 - 、 * 、 / 、 % 、 << 、 >> 、 & 、 |…

音视频色彩:RGB/YUV

目录 1.RGB 1.1介绍 1.2分类 1.2.1RGB16 1)RGB565 2)RGB555 1.2.2RGB24 1.2.3RGB222 2.YUV 2.1介绍 2.2分类 2.2.1 YUV444 2.2.2 YUV 422 2.2.3 YUV 420 2.3存储格式 2.3.1 YUYV 2.3.2 UYVY 2.3.3 YUV 422P 2.3.4 YUV420P/YUV420SP 2.3.5 YU12 和…

IS-IS 接口认证密码平滑更换

拓扑图 配置 AR1、AR2建立ISIS level-2邻居关系&#xff0c;并配置接口认证密码为huawei sysname AR1 # isis 1is-level level-2network-entity 49.0000.0000.0000.0001.00 # interface GigabitEthernet0/0/0ip address 12.1.1.1 255.255.255.0 isis enable 1isis authentica…

Spark安装(Yarn模式)

一、解压 链接&#xff1a;https://pan.baidu.com/s/1O8u1SEuLOQv2Yietea_Uxg 提取码&#xff1a;mb4h tar -zxvf /opt/software/spark-3.0.3-bin-hadoop3.2.tgz -C /opt/module/spark-yarn mv spark-3.0.3-bin-hadoop3.2/ spark-yarn 二、配置环境变量 vim /etc/profile…

【typescript】特殊符号用法(?:)(??)(?.)(!)(!!)

一. 问号冒号&#xff08;?:&#xff09; 1.可以作为对象类型的可选属性&#xff0c;如&#xff1a; interface Person{name : string;age?: number; }const person1 : Person {name:"zien"} const person2 : Person {name:"sad", age:18} console.l…

MacBook有必要装清理软件吗?CleanMyMac的一些主要特点

MacBook是苹果公司的一款高端笔记本电脑&#xff0c;但是&#xff0c;随着使用时间的增长&#xff0c;MacBook也会出现一些问题&#xff0c;比如运行缓慢、卡顿、垃圾文件堆积、磁盘空间不足等。这些问题不仅影响了用户的使用体验&#xff0c;也可能对MacBook的寿命和安全性造成…

如何将国风与品牌信息相结合?

随着人们消费观念的转型升级。「国风」成为深受品牌欢迎的营销元素&#xff0c;它能够通过东方美学引起用户。然而有许多品牌在国风营销中稍不注意就会踩雷&#xff0c;今天媒介盒子就来和大家聊聊&#xff1a;国风营销怎么做才能吸引用户。 一、 与用户生活结合 要找到传统文…

ChatGPT高效提问—prompt常见用法(续篇四)

ChatGPT高效提问—prompt常见用法&#xff08;续篇四&#xff09; 1.1 知识生成 ​ 知识生成是指使用自然语言处理技术&#xff0c;通过ChatGPT等AI模型生成与特定主题相关的知识、文本或回答。在知识生成过程中&#xff0c;模型接收prompt输入的问题、指令或上下文信息&…

Vue3中路由配置Catch all routes (“*“) must .....问题

Vue3中路由配置Catch all routes (“*”) must …问题 文章目录 Vue3中路由配置Catch all routes ("*") must .....问题1. 业务场景描述1. 加载并添加异步路由场景2. vue2中加载并添加异步路由(OK)3. 转vue3后不好使(Error)1. 代码2. 错误 2. 处理方式1. 修改前2. 修…

8_姿态的其他描述及一般坐标系映射

1.机器人姿态的其他表示方法 前面说的用33矩阵矩阵描述姿态&#xff0c;9个元素&#xff0c;6个约束条件&#xff0c;实际上只有3个独立元素。即用3个独立元素即可描述机器人姿态。常用的有RPY角&#xff0c;欧拉角和四元数。 1.1 RPY角 RPY角是船舶在海上航行时常用的一种姿态…

基于java+springboot+vue实现的高校物品捐赠管理系统(文末源码+Lw)23-151

第1章 绪论 当前的网络技术&#xff0c;软件技术等都具备成熟的理论基础&#xff0c;市场上也出现各种技术开发的软件&#xff0c;这些软件都被用于各个领域&#xff0c;包括生活和工作的领域。随着电脑和笔记本的广泛运用&#xff0c;以及各种计算机硬件的完善和升级&#xf…

不到1s生成mesh! 高效文生3D框架AToM

论文题目&#xff1a; AToM: Amortized Text-to-Mesh using 2D Diffusion 论文链接&#xff1a; https://arxiv.org/abs/2402.00867 项目主页&#xff1a; AToM: Amortized Text-to-Mesh using 2D Diffusion 随着AIGC的爆火&#xff0c;生成式人工智能在3D领域也实现了非常显著…

信钰证券:2024年最新创业板开通条件?

创业板是深圳证券买卖所建立的一个专门为创新型、成长型企业服务的板块&#xff0c;受到了不少投资者的关注。对于2024年最新创业板注册条件&#xff0c;信钰证券下面就为我们详细介绍一下。 2024年最新创业板注册条件&#xff1a; 1、投资者的财物要求&#xff1a;投资者申请…

JavaScript基础(28)_获取元素的其他样式

其他样式操作的属性 clientWidth(只读)&#xff1a;获取元素的"可见宽度"&#xff0c;包括内容区和内边距(返回的是一个数字&#xff0c;不带px&#xff0c;可直接进行计算)。 clientHeight(只读)&#xff1a;获取元素的"可见高度"&#xff0c;包括内容区…

大数据应用对企业的价值

目录 一、大数据应用价值 1.1 大数据技术分析 1.2 原有技术场景的优化 1.2.1 数据分析优化 1.2.2 高并发数据处理 1.3 通过大数据构建新需求 1.3.1 智能推荐 1.3.2 广告系统 1.3.3 产品/流程优化 1.3.4 异常检测 1.3.5 智能管理 1.3.6 人工智能和机器学习 二、大数…

mac电脑安装cocoapods出错,以及安装最新版本ruby方法

macbook安装cocoapods时碰到一个报错&#xff1a;大概率是ruby的版本太低导致的 sudo gem install cocoapods ERROR: Error installing cocoapods: ERROR: Failed to build gem native extension. ... Could not create Makefile due to some reason, probably lack of neces…

Mountain Lake - Forest Pack

从头开始构建的50个岩石森林资源集合,充分利用了HDRP。还支持Universal 和Built-In。 支持Unity 2020.3+、高清渲染管线、通用渲染管线、标准渲染管线。导入包后,按照README中的说明进行操作。 Mountain Lake - Rock & Tree Pack是一个由50个准备好的资源组成的集合,从头…

如何运行心理学知识(心流)来指导工作和生活

如何运用心流来指导工作和生活 如何联系我 作者&#xff1a;鲁伟林 邮箱&#xff1a;thinking_fioa163.com或vlinyes163.com GitHub&#xff1a;https://github.com/thinkingfioa/ReadingSummary 版权声明&#xff1a;文章和记录为个人所有&#xff0c;如果转载或个人学习…

命令行参数、环境变量

1. 命令行参数 大家平时在写主函数时基本是无参的&#xff0c;但其实是有参数的&#xff0c;先介绍前两个参数。 int main(int argc, char* argv[])第二个参数是指针数组&#xff0c;第一个参数是该数组的个数&#xff0c;我们先来写 一段代码来看看指针数组里面是什么。 1 #…