近日,卡巴斯基发出警告,他们监测到一种名为Luna的新型勒索软件系列正在肆虐。Luna可加密运行多个操作系统的设备,包括 Windows、Linux 和 ESXi 等主流操作系统。
卡巴斯基安全研究人员在公司暗网威胁情报主动监控系统中的某个暗网勒索软件论坛广告发现了Luna 勒索软件的身影,有意思的是,该勒索软件似乎专门是为讲俄语的攻击者所设计。
卡巴斯基在报告中指出,Luna的背景和俄语密不可分,例如它只与讲俄语勒索组织进行合作;而在它的二进制文件中硬编码的赎金记录存在语法拼写错误,习惯性拼写“a little team”而不是“a small team”。这意味着,Luna背后的勒索组织必定是以俄语交流为主。
在俄语中,Luna的意思是“月球”,截止到目前,Luna还是一款较为基础的勒索软件,深度功能还在开发之中,且基于可用的命令行选项功能有限。但是这依旧需要引起注意,因为Luna使用了一种不太常见的加密方案,使用了X25519 椭圆曲线 Diffie-Hellman 密钥交换与高级加密标准 (AES) 对称加密算法相结合。
勒索组织在Rust中开发了这种新型的勒索软件,并利用其与平台无关的特性将其移植到多个平台,而对源代码的更改很少。
Luna 证实了跨平台勒索软件的趋势:当前的勒索软件团伙严重依赖 Golang 和 Rust 等语言。一个值得注意的例子包括 BlackCat 和 Hive。这些语言与平台无关,用这些语言编写的勒索软件可以很容易地从一个平台移植到其他平台,因此攻击可以同时针对不同的操作系统。
例如Linux 和 ESXi 样本都是使用相同的源代码编译,与 Windows 版本相比有一些细微的变化。其余代码与 Windows 版本相比没有重大变化。除此之外,跨平台语言有助于规避静态分析。
卡巴斯基表示,鉴于该组织刚刚被发现并且其活动仍在受到监控,因此关于使用 Luna 勒索软件对哪些受害者进行加密的数据非常少。