Linux版Black Basta勒索病毒针对VMware ESXi服务器

前言

Black Basta勒索病毒是一款2022年新型的勒索病毒,最早于2022年4月被首次曝光,主要针对Windows系统进行攻击,虽然这款新型的勒索病毒黑客组织仅仅才出来短短两个多月的时间,就已经在其暗网平台上已经公布了几十个受害者之多,非常活跃,最近国外某厂商曝光了该勒索病毒利用QBot僵尸网络进行传播,从监控的数据可以发现该新型勒索病毒攻击活动量已经超过了此前的Conti、BlackCat、Hive等主流的勒索病毒黑客组织,仅次于LockBit勒索病毒家族,最近该勒索病毒黑客组织又积极开发更新出Linux版本攻击样本,主要用于攻击在企业Linux服务器上运行的VMware ESXi虚拟机,从笔者监控到的情报可以发现现在大多数Linux版的勒索病毒都已经将攻击的重点转移到ESXi虚拟机上,像前不久非常活跃的Conti勒索病毒等,随着云计算的发展,越来越多的公司将业务迁移到虚拟机,勒索病毒黑客组织也早已经将目标转移向云计算业务发展,在未来几年勒索病毒仍然会非常流行,可以预测下一代勒索病毒主要针对云和IOT(IT/OT)等基础设施。

笔者给大家盘点了一下最近一两年全球主流的勒索病毒黑客组织开发的Linux版的勒索病毒攻击样本家族,如下所示:

分析

1.程序使用GMP库初始化加密密钥信息,如下所示:

2.查找系统/vmfs/volumes目录进行加密,如下所示:

3.勒索病毒采用多线程的方式执行加密操作,加速加密的速度,如下所示:

4.文件的加密过程,如下所示:

加密算法使用ChaCha算法作为加密机制的一部分,如下所示:

5.生成勒索提示信息文件,如下所示:

勒索提示信息内容,如下所示:

勒索病毒解密网站,如下所示:

勒索病毒样本基本上分析完成了,该勒索病毒使用的加密算法为RSA+ChaCha20,调用GMP库,通过分析可以发现该勒索病毒是使用C++语言进行编写的,有兴趣的朋友下载该样本进行分析研究。

总结

勒索病毒攻击仍然是全球最大的网络安全威胁之一,某些定向的勒索病毒攻击活动已经威胁到了一些国家的重要基础设施,随着一些主流勒索病毒家族(Conti、Babuk)等源代码被公开,越来越多的黑客组织开始通过这些公开的源代码修改编译为其他勒索病毒家族变种,勒索病毒黑客组织基于RAAS的运营模式,也使勒索病毒攻击成本越来越低,勒索病毒黑客组织越来越庞大,攻击手法多种多样,越来越多的恶意软件家族开始与勒索病毒黑客组织进行合作,通过其他各种恶意软件以及最新的一些漏洞进行传播勒索病毒将是未来勒索病毒攻击的主要趋势之一,另一大趋势就是一些勒索病毒黑客组织以APT定向攻击+勒索为主,同时随着全球云计算基础设施的发展与完善,估计也早已经被勒索病毒黑客组织盯上了,勒索病毒的防御不仅需要终端安全类产品能力的不断提升,同时也需要及时获取勒索病毒最新的威胁情报,全球主流的各种各样的不同平台的恶意软件都有可能成为勒索病毒传播的源头,由于勒索病毒攻击的暴利驱使,这些恶意软件黑客组织都有可能与勒索病毒黑客组织合作加入到勒索病毒攻击活动当中,目前大部分主流的勒索病毒都是无法解密的,各企业需要注意防范。

笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/685197.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【案例8】用户中心实现涉及内容和过程

图1 如图1是用盒子模型内容实现的,但是需要了解一些内容。 一.内容知识引入 1.内边距属性(padding) 为了调整盒子在网页中的显示位置,常常需要为元素设置内边距。内边距也被称为内填充,是指元素内容和边框之间的距离…

linux安装mysql8且初始化表名忽略大小写

mysql8下载地址 MySQL8.0安装步骤 1、把安装包上传到linux系统,解压、重命名并移动到/usr/local/目录: cd ~ tar -xvf mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz mv mysql-8.0.32-linux-glibc2.12-x86_64/ mysql80/ mv mysql80/ /usr/local/2、在M…

VMwareWorkstation17.0虚拟机安装Windows2.03完整详细步骤图文教程

VMwareWorkstation17.0虚拟机安装Windows2.03完整详细步骤图文教程 第一篇 下载Windows2.03第二篇 配置Windows2.03虚拟机机器环境第三篇 启动Windows2.03系统 第一篇 下载Windows2.03 1.Windows2.0原版软盘下载地址是 暂不提供,后续更新 2.Windows2.03虚拟机镜像下…

鸿蒙开发-HarmonyOS UI架构

初步布局Index 当我们新建一个工程之后,首先会进入Index页。我们先简单的做一个文章列表的显示 class Article {title?: stringdesc?: stringlink?: string }Entry Component struct Index {State articles: Article[] []build() {Row() {Scroll() {Column() …

GiantPandaCV | 视觉类表面缺陷检测项目相关技术总结

本文来源公众号“GiantPandaCV”,仅用于学术分享,侵权删,干货满满。 原文链接:视觉类表面缺陷检测项目相关技术总结 本文由海滨撰写,首发于GaintPandaCV。 零、前言 做这个方向的项目也有一段时间了,作为…

Deep learning学习笔记

lec 1:Regression 1.5 Linear neural networks for regression线性神经网络的回归 I parameterizing output layer, I handling data, I specifying loss function, I training model. 浅层网络包括线性模型,其中包含了许多经典的统计预测方法&…

C++中的拷贝构造函数

一、拷贝构造函数的概念 拷贝构造函数用于创建一个与已有对象相同的对象,本质上也是构造函数的重载 拷贝构造函数只有一个类型为 const 类类型引用的形参,当我们要创建一个与已存在对象相同的对象时,由编译器自动调用拷贝构造函数。 clas…

简单的edge浏览器插件开发记录

今天在浏览某些网页的时候,我想要屏蔽掉某些信息或者修改网页中的文本的颜色、背景等等。于是在浏览器的控制台中直接输入JavaScript操作dom完成了我想要的功能。但是每次在网页之间跳转该功能都会消失,我需要反复复制粘贴js脚本,无法实现自动…

MATLAB知识点:exprnd函数(★★☆☆☆)生成指数分布的随机数

讲解视频:可以在bilibili搜索《MATLAB教程新手入门篇——数学建模清风主讲》。​ MATLAB教程新手入门篇(数学建模清风主讲,适合零基础同学观看)_哔哩哔哩_bilibili 节选自第3章:课后习题讲解中拓展的函数 在讲解第三…

【革新你的社交形象】用AI创意头像应用,让你的头像独一无二!

在这个数字化时代,社交媒体已经成为我们生活中不可或缺的一部分。你是否曾经为了找到一个既能表达自己个性,又足够吸引眼球的头像而苦恼?现在,有了我们全新推出的AI创意头像应用,你的这一困扰将成为过去! …

React入门到精通:掌握前端开发的必备技能!

介绍:React是一个由Facebook开发和维护的JavaScript库,用于构建用户界面,特别是用于构建单页应用程序和移动应用程序的用户界面。以下是对React的详细介绍: 虚拟DOM:React通过使用虚拟DOM(Document Object …

【Deep Learning 2】神经网络的优化

🌞欢迎来到PyTorch的世界 🌈博客主页:卿云阁 💌欢迎关注🎉点赞👍收藏⭐️留言📝 🌟本文由卿云阁原创! 📆首发时间:🌹2024年2月16日&a…

java8-重构、测试、调试

8.1.1 改善代码的可读性 改善代码的可读性到底意味着什么?我们很难定义什么是好的可读性,因为这可能非常主观。通常的理解是,“别人理解这段代码的难易程度”。改善可读性意味着你要确保你的代码能非常容易地被包括自己在内的所有人理解和维护。为了确保…

阿里云“BGP(多线)”和“BGP(多线)_精品”区别价格对比

阿里云香港等地域服务器的网络线路类型可以选择BGP(多线)和 BGP(多线)精品,普通的BGP多线和精品有什么区别?BGP(多线)适用于香港本地、香港和海外之间的互联网访问。使用BGP&#xf…

悦纳自己:拥抱个人局限,开启成长之旅

悦纳自己:拥抱个人局限,开启成长之旅 在人生的旅途中,我们每个人都会面临无数的挑战和选择。有时我们会因为这些挑战而感到焦虑和不安,因为我们害怕失败,害怕无法达到预期的目标。然而,真正重要的是我们如何…

Selenium实战教程系列(三)--- Selenium中的动作

Selenium中针对元素进行的动作在代码中可以分为两类: Selenium::WebDriver::ActionBuilder类中的动作方法Selenium::WebDriver::Element类中的动作方法 其中ActionBuilder类中的动作方法比较丰富,基本涵盖了所有可以进行的操作。 而Element类的动作比较…

Linux目录结构

Linux常用目录结构 /:根目录存放在系统的所有文件 ~:一般特指当前用户的家目录。root用户一般为:/root,普通用户为:/home/用户名 /home:新用户新建时,会在此目录建立新的用户文件,…

C#根据权重抽取随机数

(游戏中一个很常见的简单功能,比如抽卡抽奖抽道具,或者一个怪物有多种攻击动作,按不同的权重随机出个攻击动作等等……) 假如有三种物品 A、B、C,对应的权重分别是A(50)&#xff0c…

积分(二)——复化Simpson(C++)

前言 前言 simpson积分 simpson积分公式 ∫ a b f ( x ) d x ≈ b − a 6 [ f ( a ) f ( b ) 4 f ( a b 2 ) ] \int_{a}^{b}f(x)dx \approx \frac{b-a}{6}[f(a)f(b)4f(\frac{ab}{2})] ∫ab​f(x)dx≈6b−a​[f(a)f(b)4f(2ab​)] 与梯形积分类似,当区间[a,b]较…

浅析Linux追踪技术之ftrace:综述

文章目录 概述Ftrace工作原理Ftrace追踪器Ftrace探测技术GCC的profile特性 tracefs文件系统控制文件trace信息 Ftrace使用tracer配置步骤function tracer使用示例 相关参考 概述 Ftrace,全称Function Tracer,是一个内部跟踪器,旨在帮助系统的…