最近，网路安全专家发现了一种新的基于 Linux 的勒索病毒，专门针对 VMware ESXi 伺服器。这种变体属于 TargetCompany 勒索病毒家族，也被称为 Mallox、FARGO 和 Tohnichi，使用独特的 shell 脚本来渗透和破坏系统。

TargetCompany 勒索病毒的背景

自 2021 年 6 月出现以来，TargetCompany 勒索病毒主要攻击 MySQL、Oracle 和 SQL Server 等数据库伺服器，影响了台湾、南韩、泰国和印度的多个组织。

尽管在 2022 年 2 月遇到挫折，当时 Avast 发布了 一个早期变体的解密工具，但该团伙在 9 月恢复了势头，专注于漏洞较多的 Microsoft SQL 伺服器，甚至威胁要在 Telegram 上泄露被窃的数据。

向 Linux 的演变

趋势科技 报告 指出，TargetCompany 最新的 Linux 勒索病毒变体在执行其恶意任务之前确保拥有管理访问权。它利用一个自定义脚本来部署勒索病毒有效载荷，还将数据传送到两台伺服器上，这样做可能是为了防止在系统被破坏或技术故障的情况下数据丢失。

TargetCompany Linux 变体的感染链 (资料来源：趋势科技)

部署后，脚本使用 uname 命令检测系统是否为 VMware ESXi 伺服器，并生成名为“TargetInfotxt”的文件上传到指挥与控制 (C2) 伺服器。该文件包含关键信息，如主机名、IP 地址、操作系统详细信息、用户权限和加密文件的清单。

攻击过程中发生了什么？

与虚拟机相关的文件，如 vmdk、vmem、vswp、vmx、vmsn 和 nvram，都会被加密，并附加上“locked”扩展名。

在加密过程结束后，会出现一个名为“HOW TO DECRYPTtxt”的勒索通知，指导受害者如何支付赎金以获取解密密钥。

TargetCompany Linux 变体掉落的勒索通知 (资料来源：趋势科技)

为了消除任何取证痕迹，勒索病毒脚本接著使用‘rm f x’命令自我删除，去除可能在后续调查中被利用的所有痕迹。

应对建议

被认为与一个名为“vampire”的团体有关的罪犯，根据趋势科技和其他网路安全报告，已经使用与中国 ISP 相关联的 IP 地址。然而，确定攻击者的确切来源仍然具有挑战性。

随著从 Windows 转向 Linux，并针对 VMware ESXi 平台，TargetCompany 勒索病毒的演变标志著该组织战略上的重大转变。

趋势科技强烈建议采用多因素身份验证 (MFA)，定期备份，以及保持系统更新，以减轻此类勒索病毒带来的风险。

他们还提供了一份详细的妥协指标清单，包括 Linux 勒索病毒变体的哈希值以及“vampire”附属的脚本。

Anas Hasan

2024 年 6 月 6 日

5 个月前

Anas Hasan 是技术爱好者和网路安全热衷者，拥有数位转型行业的丰富经验。当他不在写博客时，他会观看足球比赛。