近日卡巴斯基(Kaspersky)發(fā)現(xiàn)某已知勒索軟件幫派部署了一種針對Linux的文件加密木馬。

卡巴斯基安全研究員指出：“這是一個全新的文件加密木馬，屬于ELF可執(zhí)行文件，能夠?qū)inux電腦上的數(shù)據(jù)進(jìn)行加密。”

[[351740]]

該木馬類似于現(xiàn)有的RansomEXX木馬，后者在上周剛剛被用于攻擊巴西法院以及美國和其他地區(qū)的目標(biāo)。

卡巴斯基總結(jié)說：“該木馬的贖金提示與RansomEXX的非常類似，因此很可能是RansomEXX的Linux變種。”

RansomEXX的Linux變種與其他勒索軟件家族的功能幾乎沒有交集，例如不包含命令控制服務(wù)器的回呼功能或常見的反分析“技巧”，因此這是一個很純粹、很“基本”的勒索軟件。一旦部署，該Linux木馬的存在對用戶和網(wǎng)絡(luò)管理員都是顯而易見的，因?yàn)橐磺卸纪Ｖ构ぷ髁?，屏幕上顯示要求支付贖金的彈窗提示。除非攻擊者想要提取加密數(shù)據(jù)以供二次銷售或勒索，否則不需要混淆和回呼功能。

“基本”的勒索軟件攻擊通常由攻擊者進(jìn)行部署，這些攻擊者會提前入侵網(wǎng)絡(luò)。例如，在十月份的芬蘭，心理治療診所的患者的臨床記錄被盜并在線發(fā)布。本地報(bào)告顯示，在醫(yī)療數(shù)據(jù)被在線泄露之前，攻擊者已經(jīng)訪問了診所的網(wǎng)絡(luò)。

同樣，在2018年將Magecart植入英國航空公司卡付款頁面的罪犯就一直潛伏在該航空公司的公司網(wǎng)絡(luò)內(nèi)部，只是在轉(zhuǎn)儲碰巧包含未加密存儲的信用卡詳細(xì)信息的數(shù)據(jù)庫后才被發(fā)現(xiàn)。攻擊者的突破口是承包商用戶帳戶的弱密碼，并進(jìn)而訪問了更廣泛的英航內(nèi)部網(wǎng)絡(luò)。

勒索軟件之所以頻頻得手，主要是企業(yè)未能定期修補(bǔ)漏洞，以及保持良好的密碼衛(wèi)生和啟用多因素身份驗(yàn)證。正如網(wǎng)絡(luò)安全機(jī)構(gòu)Positive Technologies所指出的：“大多數(shù)攻擊都在中等黑客的能力范圍內(nèi)，所需要的也往往只是一些基本技能。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文