2022年07月23日
近日,卡巴斯基發出警告,他們監測到一種名為Luna的新型勒索軟件系列正在肆虐。Luna可加密運行多個操作系統的設備,包括 Windows、Linux 和 ESXi 等主流操作系統。
卡巴斯基安全研究人員在公司暗網威脅情報主動監控系統中的某個暗網勒索軟件論壇廣告發現了Luna 勒索軟件的身影,有意思的是,該勒索軟件似乎專門是為講俄語的攻擊者所設計。 卡巴斯基在報告中指出,Luna的背景和俄語密不可分,例如它只與講俄語勒索組織進行合作;而在它的二進制文件中硬編碼的贖金記錄存在語法拼寫錯誤,習慣性拼寫“a little team”而不是“a small team”。這意味著,Luna背后的勒索組織必定是以俄語交流為主。 在俄語中,Luna的意思是“月球”,截止到目前,Luna還是一款較為基礎的勒索軟件,深度功能還在開發之中,且基于可用的命令行選項功能有限。但是這依舊需要引起注意,因為Luna使用了一種不太常見的加密方案,使用了X25519 橢圓曲線 Diffie-Hellman 密鑰交換與高級加密標準 (AES) 對稱加密算法相結合。 基于 Rust 的跨平臺勒索軟件 勒索組織在Rust中開發了這種新型的勒索軟件,并利用其與平臺無關的特性將其移植到多個平臺,而對源代碼的更改很少。 Luna 證實了跨平臺勒索軟件的趨勢:當前的勒索軟件團伙嚴重依賴 Golang 和 Rust 等語言。一個值得注意的例子包括 BlackCat 和 Hive。這些語言與平臺無關,用這些語言編寫的勒索軟件可以很容易地從一個平臺移植到其他平臺,因此攻擊可以同時針對不同的操作系統。 例如Linux 和 ESXi 樣本都是使用相同的源代碼編譯,與 Windows 版本相比有一些細微的變化。其余代碼與 Windows 版本相比沒有重大變化。除此之外,跨平臺語言有助于規避靜態分析。 卡巴斯基表示,鑒于該組織剛剛被發現并且其活動仍在受到監控,因此關于使用 Luna 勒索軟件對哪些受害者進行加密的數據非常少。