新版Linux加密器RansomHub攻击VMware ESXi环境

关键要点

RansomHub针对VMware ESXi环境展开攻击，使用的是一种新的Linux加密器。该加密器基于已经停止开发的Knight勒索病毒，具备解密、执行延迟及日志记录等功能。RansomHub利用ChaCha20和Curve25519加密技术，提升了隐蔽性。建议组织用户通过修改/tmp/apppid文件来防御此类攻击。

最近，报告指出，RansomHub这一勒索软件即服务操作正在针对VMware ESXi环境发起攻击，使用一种新型Linux加密器。根据BleepingComputer的报道，这种加密器不仅支持配置解密和执行延迟功能，还可以将进程信息日志记录到控制台，移除快照以及关闭虚拟机。

据Recorded Future的Insikt Group所述，这种新的Linux加密器被怀疑与已停产的Knight勒索病毒有关，具有自我删除功能，并通过停用包括syslog在内的若干关键服务来规避检测。研究人员进一步指出，此加密器使用ChaCha20和Curve25519加密算法生成公私钥，增强了其隐蔽性和攻击能力。

对于寻找防止RansomHub在VMware ESXi环境中攻击的方法的组织，专家建议在系统的/tmp/apppid文件中添加‘1’，以形成一个结束不存在的进程的无限循环，从而抵御攻击。

这些发现的时间点在该组织的Windows和Linux加密器的相关报告发布一个多月之后，显示出其威胁的持续性和复杂性。

外网vp免费下载特征描述加密器类型Linux加密器基于产品停产Knight勒索病毒主要功能配置解密、执行延迟、日志记录等加密算法ChaCha20与Curve25519规避检测方式停用syslog服务、自我删除防御建议修改/tmp/apppid文件

RansomHub的攻击再次强调了网络安全的紧迫性，组织应审慎提升虚拟环境的防护措施。