กลุ่ม Hive Ransomware มีการเริ่มการโจมตีระบบปฏิบัติการ Linux และ FreeBSD โดยใช้มัลแวร์รูปแบบใหม่ที่พัฒนาขึ้นเพื่อมุ่งเป้าหมายไปยังแพลตฟอร์มกลุ่มนี้โดยเฉพาะ
อย่างไรก็ตาม ตามที่ ESET บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ตของสโลวาเกีย ค้นพบตัวเข้ารหัสใหม่ของ Hive ที่ยังอยู่ในระหว่างการพัฒนา และยังขาดฟังก์ชันการทำงานบางอย่าง
ตัวเข้ารหัสของ Hive Ransomware ที่ใช้โจมตีบนระบบปฏิบัติการ Linux ยังถือว่าค่อนข้างมีปัญหา จากการวิเคราะห์ของ ESET พบว่าการเข้ารหัสจะล้มเหลวเมื่อมัลแวร์ถูกเรียกใช้งานด้วย explicit path นอกจากนี้ยังมาพร้อมกับการรองรับเฉพาะ single command line parameter (-no-wipe) ในทางตรงกันข้าม แรนซัมแวร์บน Windows ของ Hive มีตัวเลือกการดำเนินการถึง 5 ตัวเลือก รวมถึงการ killing processes และการ skipping disk cleaning ไฟล์ที่ไม่น่าสนใจ และไฟล์ที่เก่ากว่า
เวอร์ชัน Linux ของแรนซัมแวร์ไม่สามารถเข้ารหัสข้อมูลได้หากดำเนินการโดยไม่มีสิทธิ์รูท เนื่องจากมันพยายามลบหมายเหตุเรียกค่าไถ่ในระบบไฟล์รูทของอุปกรณ์ที่ถูกบุกรุก
ตอนนี้กลุ่ม Ransomware ให้ความสนใจ Linux servers
กลุ่ม Hive Ransomware ที่เริ่มมีข่าวการขโมยข้อมูลตั้งแต่อย่างน้อยเดือนมิถุนายน 2564 ได้โจมตีองค์กรไปแล้วกว่า 30 แห่ง หากนับเฉพาะเหยื่อที่ปฏิเสธจ่ายค่าไถ่
Hive เป็นเพียงหนึ่งในกลุ่ม Ransomware จำนวนมากที่เริ่มกำหนดเป้าหมายการโจมตีไปยังเซิร์ฟเวอร์ Linux หลังจากที่เป้าหมายองค์กรของพวกเขาได้ย้ายไปยัง virtual machines อย่างช้าๆ เพื่อการจัดการอุปกรณ์ที่ง่ายขึ้น และการใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น ด้วยการกำหนดเป้าหมายการโจมตีไปที่ virtual machines ทำให้กลุ่ม ransomware สามารถเข้ารหัสเซิร์ฟเวอร์หลายเครื่องพร้อมกันด้วยคำสั่งเดียว
ในเดือนมิถุนายน นักวิจัยพบตัวเข้ารหัส Linux ของ REvil Ransomware ใหม่ที่ออกแบบมาเพื่อกำหนดเป้าหมายการโจมตีไปที่ VMware ESXi virtual machines ซึ่งเป็นแพลตฟอร์ม virtual machine ระดับองค์กรที่ได้รับความนิยม
Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่ากลุ่ม Ransomware อื่นๆ เช่น Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide และ Hellokitty ได้สร้างตัวเข้ารหัสบนระบบปฏิบัติการ Linux ของตนเองขึ้นเช่นกัน
"สาเหตุที่กลุ่มแรนซัมแวร์ส่วนใหญ่ใช้แรนซัมแวร์เวอร์ชันบนระบบปฏิบัติการ Linux คือการกำหนดเป้าหมายการโจมตีไปที่ ESXi โดยเฉพาะ" Wosar กล่าว และตัวเข้ารหัส Linux ของ HelloKitty และ BlackMatter ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยในเดือนกรกฎาคม และสิงหาคม ซึ่งถือว่าเป็นการยืนยันคำกล่าวของ Wosar
ที่มา: bleepingcomputer