Linux版Black Basta勒索病毒针对VMware ESXi服务器

前言

Black Basta勒索病毒是一款2022年新型的勒索病毒，最早于2022年4月被首次曝光，主要针对Windows系统进行攻击，虽然这款新型的勒索病毒黑客组织仅仅才出来短短两个多月的时间，就已经在其暗网平台上已经公布了几十个受害者之多，非常活跃，最近国外某厂商曝光了该勒索病毒利用QBot僵尸网络进行传播，从监控的数据可以发现该新型勒索病毒攻击活动量已经超过了此前的Conti、BlackCat、Hive等主流的勒索病毒黑客组织，仅次于LockBit勒索病毒家族，最近该勒索病毒黑客组织又积极开发更新出Linux版本攻击样本，主要用于攻击在企业Linux服务器上运行的VMware ESXi虚拟机，从笔者监控到的情报可以发现现在大多数Linux版的勒索病毒都已经将攻击的重点转移到ESXi虚拟机上，像前不久非常活跃的Conti勒索病毒等，随着云计算的发展，越来越多的公司将业务迁移到虚拟机，勒索病毒黑客组织也早已经将目标转移向云计算业务发展，在未来几年勒索病毒仍然会非常流行，可以预测下一代勒索病毒主要针对云和IOT(IT/OT)等基础设施。

笔者给大家盘点了一下最近一两年全球主流的勒索病毒黑客组织开发的Linux版的勒索病毒攻击样本家族，如下所示：

分析

1.程序使用GMP库初始化加密密钥信息，如下所示：

2.查找系统/vmfs/volumes目录进行加密，如下所示：

3.勒索病毒采用多线程的方式执行加密操作，加速加密的速度，如下所示：

4.文件的加密过程，如下所示：

加密算法使用ChaCha算法作为加密机制的一部分，如下所示：

5.生成勒索提示信息文件，如下所示：

勒索提示信息内容，如下所示：

勒索病毒解密网站，如下所示：

勒索病毒样本基本上分析完成了，该勒索病毒使用的加密算法为RSA+ChaCha20，调用GMP库，通过分析可以发现该勒索病毒是使用C++语言进行编写的，有兴趣的朋友下载该样本进行分析研究。

总结

勒索病毒攻击仍然是全球最大的网络安全威胁之一，某些定向的勒索病毒攻击活动已经威胁到了一些国家的重要基础设施，随着一些主流勒索病毒家族(Conti、Babuk)等源代码被公开，越来越多的黑客组织开始通过这些公开的源代码修改编译为其他勒索病毒家族变种，勒索病毒黑客组织基于RAAS的运营模式，也使勒索病毒攻击成本越来越低，勒索病毒黑客组织越来越庞大，攻击手法多种多样，越来越多的恶意软件家族开始与勒索病毒黑客组织进行合作，通过其他各种恶意软件以及最新的一些漏洞进行传播勒索病毒将是未来勒索病毒攻击的主要趋势之一，另一大趋势就是一些勒索病毒黑客组织以APT定向攻击+勒索为主，同时随着全球云计算基础设施的发展与完善，估计也早已经被勒索病毒黑客组织盯上了，勒索病毒的防御不仅需要终端安全类产品能力的不断提升，同时也需要及时获取勒索病毒最新的威胁情报，全球主流的各种各样的不同平台的恶意软件都有可能成为勒索病毒传播的源头，由于勒索病毒攻击的暴利驱使，这些恶意软件黑客组织都有可能与勒索病毒黑客组织合作加入到勒索病毒攻击活动当中，目前大部分主流的勒索病毒都是无法解密的，各企业需要注意防范。

笔者一直从事与恶意软件研究相关的工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！

做安全，不忘初心，与时俱进，方得始终！