我國百名政要的LINE驚傳遭駭,進階加密的Letter Sealing功能被關,是間諜軟體飛馬Pegasus作惡?! 還是…?

LINE for iPad 正式亮相!電腦版、手機、平板三方一起 LINE!
Photo Credit: LINE

根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。

本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載

據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

Source:

https://news.ltn.com.tw/news/politics/paper/1463246

https://news.ltn.com.tw/news/politics/breakingnews/3618756

https://www.ctwant.com/article/130982

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

美國正式起訴中國政府資助的駭客組織APT 40的四名成員

7月19日美國聯合歐盟、英國、澳洲、加拿大、紐西蘭、日本與北大西洋公約組織(NATO)成員國,共同譴責中國發動惡意網路攻擊,以盜竊取智慧財產權、商業機密與傳染性疾病研究等,同時正式將3月初利用微軟Exchange Server的漏洞,對全球數以萬計的電腦及網路發動大型網路間諜行動歸咎於中國國家安全部,美國司法部今天同步公布5月一份起訴書,指控四名中國公民代表中國政府對世界各地的公司、政府機構和大學進行駭客攻擊。美國稱,這四名嫌疑人隸屬於中國國家安全部(China’s Ministry of State Security-MSS)下屬的海南省國家安全廳(Hainan State Security Department),並以一家名為海南仙盾科技的公司作為幌子公司從事駭攻,根據起訴書,至少自 2011 年以來,其中丁曉陽、程慶民與朱允敏3名被告為海南國安廳官員,負責協調、管理中共國安部旗下幌子公司內駭客,進行有利中國和相關企業的駭客行動。另一名被告吳淑榮則負責製造惡意軟體,對外國政府、企業與大學電腦系統進行網攻。

根據法庭文件,在APT40進行入侵時,常使用 Tor 網路來存取和操作他們的惡意軟體(BADFLICK, PHOTO, MURKYTOP, 和 HOMEFRY和駭客基礎設施(包含伺服器、網域、電子郵件、GitHub 和 Dropbox 帳戶。)該組織經常使用 GitHub 來存儲惡意軟體和被盜數據,並使用圖像隱碼術(Steganography)來隱藏程式碼,將數據隱藏在圖像中。由於大多數公司不會將 Dropbox 流量視為惡意流量,APT40還經常濫用 Dropbox 帳戶作為被盜數據的收集點。

起訴書指出,受害者遍及美國、英國、瑞士、奧地利、柬埔寨、加拿大、德國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯等12國,遭鎖定產業也橫跨航空、國防、政府與生物製藥等,被盜的商業機密和數據包括用於潛水器(submersibles)和自動駕駛汽車的機密技術、特殊化學配方、商用飛機維修、專有基因定序技術等。APT40 還涉嫌從研究機構和大學竊取針對與伊波拉病毒中東呼吸症候群冠狀病毒、愛滋病、馬堡病毒和兔熱病等相關的傳染病研究數據。此外,美國調查人員表示,APT40 與海南和中國各地的多所大學密切合作。該組織利用他們的海南仙盾公司,與大學工作人員合作,從大學中招募駭客和語言學家,以助他們未來的入侵。

另外,在白宮宣布和司法部指控之後,CISA、國土安全部和聯邦調查局聯合發布了一份檢測 APT40 入侵和活動的技術指南,其中包含 50 多種觀察到中國網軍使用的網路攻擊戰術流程(Tactics, Techniques and Procedures),入侵指標( IOCs)和緩解措施。

有關情資:

Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

微軟稱中國駭客開採了SolarWinds Serv-U中的零時差漏洞,並將攻擊歸因於DEV-0322

微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。

攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。

“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”

這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。

另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。

有關情資:

Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211

中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23

瑞典連鎖超市Coop不是Kaseya VSA的客戶,卻遭到龐大的影響!被迫關閉800家門店!

史上最大規模的勒索軟體攻擊在全球蔓延,在7月2日Kaseya事件發生後,因為無法操作收銀機和自行付費結帳(self-check out)系統,迫使瑞典連鎖超市 Coop連鎖店於7月2日下午關閉其800 家門店。根據這家瑞典連鎖超市其網站上發布的消息,Coop 的 800商店中只有 5 家沒有受到影響,coop.se 的線上商店維持服務。

Coop承認因公司其中一個分包商遭網路攻擊,令其結帳系統無法運作,根據外媒報導,Coop 並未直接在其系統上使用 Kesaya VSA,但他們的軟體供應商之一Visma Esscom使用了 Kesaya, Visma Esscom也證實他們受到了 Kaseya 事件的影響。瑞典媒體 TT 稱,Visma Esscom為許多瑞典企業管理伺服器和設備,除了Coop外,瑞典國家鐵路服務和一家藥房連鎖店也同時受到了不同程度的影響。

雖然Kaseya執行長Fred Voccola曾在2日一份聲明中表示,使用其on-prem VSA 伺服器的客戶中只有不到40家客戶受到該事件的影響,並已經確定了漏洞的來源,將盡快發布修補,但目前連Kaseya 的 SaaS VSA(雲端)服務仍處於離線狀態,新的更新稱“維護期延長至另行通知”。

然而,Kaseya的40 家客戶大多是託管服務提供商 (MSP),這些公司使用 Kaseya 的 VSA 平台為自己的客戶管理 IT 基礎設施,因此目前認為該事件間接影響了全球上千家公司,而瑞典連鎖超市 Coop 似乎是目前受影響最大的公司。

另外根據ESET的遙測(telemetry)數據,全球多國家紛紛受到Kaseya事件的影響,受害公司有來自日本、印尼加拿大、德國、美國、哥倫比亞、瑞典等國

一些專家表示,REvil故意在美國7月4日獨立日假期前發動攻擊,目的是假期間企業的IT人手薄弱,以利其盡快傳播勒索軟體。

美國總統喬拜登週六宣布對這起國際勒索軟體攻擊展開調查,他已指示美國情報機構FBI著手調查,誓言揪出幕後黑手。

有關Kaseya VSA供應鏈勒索攻擊的最新情資:

Kaseya VSA Supply-Chain Ransomware Attack

Source:

https://www.reuters.com/article/us-usa-cyber-kaseya-sweden/cyber-attack-against-us-it-provider-forces-swedish-chain-to-close-800-stores-idUSKCN2E90F5

https://www.bbc.com/news/technology-57707530

https://www.theguardian.com/technology/2021/jul/03/kaseya-ransomware-attack-us-sweden

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

SolarWinds事件2.0,REvil鎖定Kaseya VSA軟體發動大規模供應鏈勒索攻擊,過百間公司遭駭,全球客戶感染勒索軟體

美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際,REvil 勒索軟體的幕後駭客投下震撼蛋,他們被發現通過IT供應商Kaseya的VSA軟體的自動更新,將其勒索軟體散播到最少8間MSP和200間企業的網路中,造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限,並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業,勒索贖金。

外媒取得其中一封Kaseya事件中受害公司的贖索信,要求高達5百萬美元的贖金,目前不清楚是否每間受害公司需付同樣金額,或每個MSP是否有個別的勒索信

根據外媒報導,受感染的Kaseya惡意更新從VSA 的on prem伺服器,透過使用內部scripting引擎,將勒索軟體部署到所有連接的客戶端系統,Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備,以防止攻擊在調查過程中蔓延。此外,除了建議客戶關閉他們的VSA伺服器之外,為了阻止惡意更新的傳播,並試圖將 REvil從其系統中剷除,Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

REvil立即停止管理員存取 VSA

再把這些檔案丟去客戶端的系統上:

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示,目前正在針對此攻擊採取行動,以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

美國一級創傷中心”南內華達大學醫學中心”遭REvil攻擊,數據被盜

臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文,並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者,根據Review Journal報導,REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖,相信現階段駭客仍與UMCSN進行談判,目前也不知道勒索金額。

 6月29日UMCSN在一份聲明承認遭到入侵,確認網路犯罪分子在 6 月中旬非法存取了其系統用於存儲數據的伺服器。UMCSN說,執法部門現在正在調查這起事件,沒有證據表明在攻擊中存取了任何臨床系統,但會通知患者和員工他們的個資可能處於暴露的風險,醫院還將提供“免費身份保護和信用監控服務”。UMCSN表示其IT部門迅速採取行動,入侵僅影響了內部間歇性的電腦登錄問題,但沒有影響患者護理或 UMC 的臨床系統並沒有中斷。聲明更進一步說:“這種類型的攻擊在醫療保健行業變得越來越普遍,世界各地的醫院都遇到了類似的情況。”

南內華達大學醫學中心(UMCSN) 的聲明

聲明並未提及駭客的動機,但專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示,REvil擅長在鎖定目標組織的系統之前竊取目標組織的數據,然後威脅要在網上發布數據以迫使組織支付贖金。Callow補充說,REvil可能以威脅要發布從整容手術過程中的前後照片等,盡其所能向UMCSN施加壓力。

截至目前仍無法打開官方網站的頁面:

UMCSN是一家非營利性公立醫院,也是內華達州唯一的 1 級創傷中心(Level 1 Trauma Center)。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Linux版的REvil勒索軟體,鎖定VMware ESXi虛擬機器

隨著企業轉向虛擬機以便更輕鬆地進行備份、設備管理和有效利用資源,同時也有越來越多的勒索軟體組織建立自己的工具來對 VM 使用的存儲進行大規模加密。現在資安研究員發現REvil 勒索軟體操作Linux 加密工具,來攻擊與加密VMware ESXi虛擬機器。

根據資安公司Advanced Intelligence的執行長Vitali Kreme分享了他分析REvil勒索軟體 的Linux變種是如何殺掉VM 的 process:

1. Leverages “esxcli” CLI component to kill VMs via world id

2. affiliate “sub”:”7864″ | usual struct

3. GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.4) 4.8.4

另外AT &T Alien Labs技術總監Jaime Blasco,也分享了Linux 版的REvil勒索軟體的惡意程式特徵規則YARA RULE與Hash值:

FileHash-MD5 ab3229656f73505a3c53f7d2e95efd0e

FileHash-MD5 e199f02ffcf1b1769c8aeb580f627267

FileHash-MD5 96a157e4c0bef22e0cea1299f88d4745

FileHash-MD5 395249d3e6dae1caff6b5b2e1f75bacd

FileHash-SHA256 3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d

FileHash-SHA256 796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4

FileHash-SHA256 d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763

FileHash-SHA256 ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4

FileHash-SHA1 446771415864f4916df33aad1aa7e42fa104adee

FileHash-SHA1 45404b862e70a7a1b4db6c73d374b8ac19ddf772

FileHash-SHA1 9586ebc83a1b6949e08820b46faf72ee5b132bca

FileHash-SHA1 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa

看更多Linux版REvil勒索軟體的情資: REvil ransomware Linux version