勒索軟件領域的演變已經從涉及Windows有效載荷的傳統方法，轉變為針對其他平臺（最明顯的是Linux）的方法。在這種轉變中，勒索軟件運營商正在縮短不同有效載荷發布之間的時間間隔，并在不同的平臺上實現功能均等。

通過有策略地利用Conti、Babuk或Lockbit等知名勒索軟件家族的代碼，勒索軟件運營商正在重用和修改代碼庫，以創建新的攻擊技術。隨著越來越多的此類事件曝光，安全團隊在防御中保持警惕和適應性變得至關重要。

本文將重點介紹最近發現的幾個勒索軟件家族，它們都在運行后不久就釋放了以Linux/ ESXi為重點的有效載荷。了解這些有效載荷的能力是衡量未來風險的重要一步，也是幫助安全團隊有效應對的關鍵。

Linux勒索軟件威脅的興起

回顧四五年前，知名勒索軟件運營商重點關注的還是運行Windows的設備。非windows版本的有效負載需要額外的技能和時間來開發和發布?，F在的情況卻并非如此，像Rust和Go這樣的語言允許惡意軟件開發人員快速進行多平臺移植。

我們今天看到的威脅場景包括勒索軟件運營商同時向多個平臺釋放有效載荷。在這種方法中，通常針對windows的有效負載與針對linux和/或ESXi的有效負載之間不再存在明顯的時間間隔。此外，現在跨平臺的有效載荷顯示功能均等已成為標準。這些以Linux和ESXi為重點的locker包含了其Windows對應版本的所有必要功能。

現代勒索軟件運營商也越來越多地重用構建器和代碼，或者修改代碼庫以滿足其需求，同時將主要代碼作為模型進行維護。安全研究人員指出，這些漏洞的主要來源是Conti、Babuk和LockBit。這些變體能夠針對Linux和VMWare ESXi環境，其目的是加密托管在ESXi服務器上的虛擬機（VM），這些虛擬機通常對業務操作和服務至關重要。

通常，攻擊者會利用ESXi中的漏洞、弱憑據或其他安全漏洞來訪問虛擬化環境。有效地瞄準和加密虛擬機的能力對勒索軟件運營商非常有吸引力。通常在幾分鐘內，完全虛擬化的基礎設施就會被正確且強大的有效負載加密和破壞。

MONTI Locker

MONTI Locker的歷史可以追溯到2022年中期，當時，它曾針對VMware ESXi 服務器發起了多次攻擊。

最新版本的MONTI ESXI勒索軟件支持各種命令行參數，其中許多是從Conti繼承的，MONTI Locker借用了Conti的代碼。然而，最近有跡象表明，MONTI Locker背后的運營商正朝著更加定制化的方向發展。

研究人員最近記錄了一個樣本，該樣本似乎擺脫了舊時基于Conti的加密器以及一些命令行參數。這些較新的示例已刪除size、log和vmlist參數。

MONTI Locker可用的命令行參數包括：

【2023年8月MONTI Locker幫助屏幕】

同樣值得注意的是，MONTI Locker能夠在受影響的服務器上更新MOTD文件（每日消息）。例如，這個文件（/etc/motd）控制用戶登錄到vCenter時看到的內容。感染后，使用MONTI Locker加密的服務器將顯示配置的贖金通知。

【MONTI Locker中的MOTD和Index.html引用】

MONTI Locker的總體攻擊量低于本文中的其他一些威脅，因為它們的目標往往是有針對性的。而且，就其感染活動的整體生命周期而言，他們十分擅長玩長期游戲。

Akira勒索軟件

Akira勒索軟件家族的Linux變體自2023年6月以來就已被觀察到，但更廣泛的操作可追溯到4月份。Akira勒索軟件的初始傳播是通過利用易受攻擊的公開可用的服務和應用程序來實現的。

傳統上，Akira勒索軟件的有效載荷也是從Conti繼承的。Linux版本的Akira勒索軟件使用crypto++庫來處理設備上的加密。Akira提供了一個簡短的命令集，其中不包括任何在加密之前關閉虛擬機的選項。但是，它們確實允許攻擊者通過-n參數對加密速度和受害者實際恢復的可能性進行一些控制。該值越大，文件被加密的內容就越多，這意味著速度越慢，受害者在沒有適當解密工具的情況下恢復的可能性也越低。

Akira可用的命令行參數包括：

【Akira帶有加密和路徑參數的最小輸出】

【Akira命令行參數】

Trigona Linux Locker

Trigona是一個于2022年6月首次發現的勒索軟件家族。它是一個多重勒索組織，并且擁有一個公開的博客，上面有受害者信息及其被盜數據。他們的惡意軟件有效負載已在Windows和Linux上觀察到。

在本文討論的所有家族中，Trigona的原始Windows有效載荷和linux版本的勒索軟件之間的發布間隔最長。雖然Trigona的Windows和Linux版本之間的差距最大，但他們絲毫不落后于其他勒索軟件家族。

Trigona專注于linux的有效負載是精簡且高效的，它們擁有本榜單中最強大的日志記錄和測試輸出選項。

Trigona的/erase選項在Windows和Linux版本上都可用。這個選項經常被忽視，但安全團隊應該意識到，這個選項允許勒索軟件作為各種類型的擦除器。使用Trigona有效載荷，/erase選項將完全刪除文件，使其基本上不可恢復。這種行為在一定程度上可以通過組合使用/full選項來調整。如果沒有后者，則只能用NULL字節覆蓋給定文件的前512KB。當與/full參數結合使用時，將覆蓋文件的整個內容。受此影響的文件將被賦予. _deleted擴展名，而不是通常的. _locked擴展名。

Trigona可用的命令行參數包括：

【Trigona以/path參數啟動】

【Trigona的final log】

【Trigona命令行參數】

Abyss Locker

Abyss Locker勒索軟件操作于2023年3月出現，并積極針對VMware ESXi環境。Abyss Locker有效負載的初始交付通過各種方式進行，包括網絡釣魚電子郵件或利用易受攻擊的公開可用服務和應用程序。

用于Linux的Abyss Locker有效負載源自Babuk代碼庫，并且以非常相似的方式運行。此外，Abyss中的加密功能是基于HelloKitty勒索軟件中的加密功能。目前還不清楚Abyss Locker、HelloKitty和Vice Society之間的正式合作是如何進行的。Abyss Locker包含特定于esxcli命令行工具的調用，該工具用于管理虛擬設備。

【Abyss Locker中的VMware ESXi命令】

Abyss Locker使用esxcli命令行工具，允許多種模式的虛擬機和進程終止。

esxcli vm process list
esxcli vm process kill -t=force -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=soft -w=%d

這些命令影響目標虛擬機關閉的“優雅”程度。根據VMware的文檔，最省事的選項（soft option）通常是最受歡迎的。硬選項（hard option）執行立即關閉（假設有特權），而強制選項（force option）只能作為最后的手段使用。但如果需要，Abyss將使用任何和所有這些選項。

Abyss Locker可用的命令行參數包括：

-v創建一個詳細的“work.log”文件，顯示所選擇的加密模式和圍繞所遇到的每個文件的加密時間的基準。

【Abyss Locker的工作日志文件】

【Abyss Locker命令選項】

就設備加密的速度而言，Abyss Locker的有效載荷是快速且有效的。隨著這個群體繼續調整他們的有效載荷，我們預計會看到更多的此類威脅活動。

結語

本文研究了幾個突出的Linux和VMWare esxi勒索軟件家族，深入研究了特定有效負載的用法和命令行語法。通過在可能的情況下突出已理解的譜系，并關注可用的參數，安全團隊可以對有效載荷進行實際操作，增強對威脅的檢測能力。

使用Windows有效載荷的攻擊與針對其他平臺的攻擊之間的差異表明，勒索軟件的格局在不斷演變。隨著威脅行為者不斷重復他們的策略來逃避檢測，如何保持領先于這些趨勢的能力將變得至關重要。

原文鏈接：https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/