邳州网站制作,旅游网站系统设计,免费发布项目的网站,网页更改前言
最近黑客组织利用DarkSide勒索病毒对Colonial Pipeline 发起勒索攻击#xff0c;国内外各大安全厂商和安全媒体也都有相关报道#xff0c;DarkSide勒索软件是从2020年8月出现#xff0c;并以(RAAS)勒索即服务的商业模式进行运作#xff0c;此勒索病毒不仅可以部署基于…前言
最近黑客组织利用DarkSide勒索病毒对Colonial Pipeline 发起勒索攻击国内外各大安全厂商和安全媒体也都有相关报道DarkSide勒索软件是从2020年8月出现并以(RAAS)勒索即服务的商业模式进行运作此勒索病毒不仅可以部署基于Windows的勒索病毒样本攻击Windows计算机而且还可以部署ELF二进制文件版本用来攻击Linux计算机上的数据。与Windows勒索病毒版本不同的是DarkSide勒索病毒Linux版本专门针对VMware EXSI虚拟机文件进行加密。 勒索病毒
笔者从某地下恶意软件论坛下载到该病毒样本该勒索病毒运行之后如下所示 该勒索病毒会加密VMware EXSI管理系统在/vmfs/volumes/目录下的后缀名为vmdk,vmem,vswp,log等的虚拟机文件勒索提示信息文件如下所示 同时该勒索病毒还会获取VMware EXSI系统的主机用户名等相关信息发送到DarkSide勒索病毒的远程服务器同时勒索病毒会在/tmp下生成software.log日志文件如下所示 在2020年2月份CrowdStrike的研究人员就发现有两个黑客组织Sprite Spider和Carbon Spider企图对VMware ESXI虚拟机系统管理程序进行攻击而且这种有针对性的大规模勒索软件活动被称为大型游戏狩猎(BGH)Sprite Spider组织会利用Defray777发起勒索攻击而Carbon Spider组织会利用DarkSide发起勒索攻击。 2021年3月中旬国内外又有大量用户反馈自己的虚拟机被加密无法连接生产环境停线等通过安全专家调查发现VMware ESXI系统虚拟机文件被加密无法打开所以安全厂商猜测是黑客组织对之前的攻击行为进行了升级使用了VMware EXSI的最新的漏洞发起勒索病毒攻击。 其实早在CrowdStrike报道之前最早DarkSide应该在2020年11月就被发现用于攻击VMware EXSI虚拟机管理程序加密VMware EXSI虚拟机文件只是当时的攻击手法跟Defray777勒索病毒的攻击手法不一样笔者研究的这个DarkSide样本也是2020年11月被最早发现的那个样本。 总结
Carbon Spider黑客组织之前一直通过部署Sodinokibi勒索病毒来进行勒索攻击2020年8月才首次推广自己的DarkSide勒索软件也是为了避免与Sodinokibi勒索病毒的供应商Pinchy Spider共享利润根据国外安全厂商或研究人员监控从2020年8月到2021年5月DarkSide勒索病毒背后的黑客组织一直没有停止对全球发起网络攻击活动相关的受害国家和企业如下所示 不仅仅是DarkSide勒索病毒在不断发起攻击其他主流的几款勒索病毒也是一样的他们不断的寻找的新的目标谁将会是下一个被攻击的目标呢 勒索病毒在未来几年仍然是最大的网络安全威胁之一只是随着越来越多技术成熟的黑客组织加入进来勒索攻击会变的越来越复杂使用的技术手段会更多利用的漏洞也会更多攻击的平台也会越多同时勒索病毒攻击已经发展成以定向攻击为主要攻击方式。
