باج افزار Hive به دنبال اخاذی از کاربران لینوکس

تمایل گروه‌های باج افزاری به سرورهای لینوکسی

اخیرا گروه باج‌افزاری Hive علاوه بر سیستم‌های ویندوزی، سیستم‌ عامل لینوکس و FreeBSD را نیز با استفاده از انواع بدافزارهای جدیدی که به‌طور خاص برای هدف قرار دادن این پلتفرم‌ها توسعه یافته‌اند، رمزگذاری می‌کند.

البته شرکت امنیتی ESET اعلام کرده رمزگذارهای جدید Hive هنوز در حال توسعه و فاقد عملکرد مناسب هستند. در گزارش ارائه شده از سوی محققان، مشخص شده که نوع لینوکسی با مشکل عمل می‌کند، به طوری که رمزگذاری در هنگام اجرای بدافزار با یک مسیر صریح، با شکست همراه است. همچنین، از یک پارامتر خط فرمان -no-wipe پشتیبانی می‌کند.

در مقابل، نسخه ویندوزی Hive با 5 امکان اجرا، از جمله kill کردن پردازه‌ها، عدم پاک کردن دیسک، فایل‌های غیرجالب و فایل‌های قدیمی‌تر عرضه می‌شود.

نسخه لینوکسی باج‌افزار در صورت اجرا بدون دسترسی root، در رمزگذاری موفق نخواهد بود، چرا که سعی دارد یادداشت باج‌گیری (ransom note) را در سیستم root دستگاه‌های در معرض خطر نمایش دهد. درست مانند نسخه ویندوزی، این گونه‌ها نیز به زبان Golang نوشته شده‌اند، اما رشته‌ها، نام بسته‌ها و نام توابع، مبهم شده‌اند.

مدیر فناوری Emsisoft بیان کرده که گروه‌های باج‌افزاری دیگری نظیر Babuk ،RansomExx/Defray ،Mespinoza ،GoGoogle ،DarkSide و HelloKitty نیز رمزگذار‌های لینوکسی خود را ایجاد کرده‌اند.

دلیل اینکه بیشتر گروه‌های باج‌افزاری از نسخه لینوکسی استفاده می‌کنند، به طور خاص هدف قرار دادن ESXi است.

پس از آن نیز نسخه‌های لینوکسی گروه‌های HelloKitty و BlackMatter  در ماه های جولای و اوت سال جاری میلادی کشف شدند. یک ماه پس از آن نیز متوجه شدند که برخی از این بدافزار‌های لینوکسی دارای اشکال هستند و می‌توانند در هنگام رمزگذاری به فایل‌های قربانی آسیبب برسانند.