研究人员针对黑客可能会使用的指令进行说明,这里可以看到攻击者能停用ESXi的系统事件记录服务,或是删除所有虚拟机的快照、停用相关处理进程,甚至能排除指定名称的虚拟机,并输出未受害的虚拟机名单,以便后续运用。
附带一提的是,研究人员意外发现ESXi版RansomHub的设计缺陷,这个勒索软件使用特定文件检查程序是否已经运行,若是设置特定参数,就有可能导致勒索软件进入无限循环,从而自我删除。对此,他们也提出能暂时抵挡这款勒索软件的做法,供企业组织参考。
提供高额报酬抽成,引诱打手上门
除了针对勒索软件的功能进行分析,研究人员也公布该组织造成的灾情。此勒索软件自今年2月出现,并以租用服务型式供打手运用,一旦攻击成功,且受害组织向他们支付赎金,打手将能得到9成报酬。研究人员指出,在同样提供勒索软件租用服务的网络犯罪圈(Ransomware-as-a-Service)当中,打手能够得到的报酬,通常是赎金的八至九成,因此RansomHub祭出这样的策略,吸引了许多经验丰富的打手上门。
在短短4个月的时间,这些黑客声称有45个企业组织受害,大部分是IT产业领域的组织,而这些受害组织分布于18个国家,其中约有3成位于美国最多。该勒索软件如此短时间内造成大量危害,引起许多研究人员的高度关注。
而对于这些黑客的攻击流程,研究人员并未详细说明,但提及他们看到部分事故当中,对方锁定云端的备份数据,或是配置不当的AWS S3存储桶下手,来向受害组织进行勒索。




2024-06-26
