Linux和ESXi為基礎的系統成為加密勒索攻擊受害者的數字持續上升,在2022年上升接近75%,原因很簡單,因為開源和虛擬化不斷增長,越來越多Linux或VMWare ESXi的系統,同時也吸引了網絡犯罪份子的目光。
2022至2023年的攻擊
- 在2023年2月,很多VMWare ESXi伺服器的用戶遭受ESXiArgs加密勒索攻擊,透過利用CVE-2021-21974安全漏洞,攻擊者關閉虛擬機並加密.vmxf、.vmx、.vmdk、.vmsd和.nvram檔案。
- 惡名昭彰的Clop組織被發現展開大規模的攻擊,透過Fortra GoAnywhere檔案傳輸服敄的安全漏洞(CVE-2023-0669),於2022年12月使用Linux版本的加密勒索程式,與Windwos版有明顯分別,專門針對Oracle數據庫資料夾。
- 新版本的BlackBasta加密勒索程式專門用作攻擊ESXi hypervisor,加密動作在涉及多個處理器的多線程模式下,使用ChaCha20運算法,由於ESXi通常使用多處理器,使加密整個環境的時間減到最少。
- 在Conti瓦解之前,該組織的黑客已具備針對ESXi的加密勒索程式,而且由於Conti大部份代碼已被洩露,他們的開發成果現在被網絡犯罪份子廣泛使用。
- 以Rust編寫的BlackCat加密勒索程式,能夠關閉和勤除ESXi虛擬機器,其惡意編碼與Windows版略有不同。
- 在2022年被偵測到的Luna跨平台加密勒索程式,能夠在Windows、Linux和ESXi系統上運作,而LockBit組織當然也無法忽視這股趨勢,向其分支提提供ESXi版本的惡意程式。
- 較舊(但仍然有效)的RansomEXX和QNAPCrypt活動,曾對Linux伺服器帶來重大打擊。
攻擊伺服器策略
滲透Linux伺服器通常透過利用安全漏洞,攻擊者可以在操作系統、web server和其他應用程式上利用安全漏洞作惡,當然也包括商用應用程式、數據庫和虛擬系統,去年Log4Shell顯示了開源原件的安全漏洞需要特別留神,因為隨後可能是特權升級和加密系統接踵而來。
Linux伺服器不能忽視安全
為把Linux伺服器受到攻擊的機會減到最低,我們建議:
- 定期安裝補丁堵塞安全漏洞
- 把面向互聯網的port和connection數量減至最低
- 在伺服器部署專門的保安工具,保護操作系統和虛擬機器。
資料來源:Kaspersky Blog
