新版Linux加密器RansomHub攻击VMware ESXi环境

关键要点

• RansomHub针对VMware ESXi环境展开攻击，使用的是一种新的Linux加密器。
• 该加密器基于已经停止开发的Knight勒索病毒，具备解密、执行延迟及日志记录等功能。
• RansomHub利用ChaCha20和Curve25519加密技术，提升了隐蔽性。
• 建议组织用户通过修改'/tmp/app.pid'文件来防御此类攻击。

最近，报告指出，RansomHub这一勒索软件即服务操作正在针对VMwareESXi环境发起攻击，使用一种新型Linux加密器。根据的报道，这种加密器不仅支持配置解密和执行延迟功能，还可以将进程信息日志记录到控制台，移除快照以及关闭虚拟机。

据Recorded Future的InsiktGroup所述，这种新的Linux加密器被怀疑与已停产的Knight勒索病毒有关，具有自我删除功能，并通过停用包括syslog在内的若干关键服务来规避检测。研究人员进一步指出，此加密器使用ChaCha20和Curve25519加密算法生成公私钥，增强了其隐蔽性和攻击能力。

对于寻找防止RansomHub在VMwareESXi环境中攻击的方法的组织，专家建议在系统的'/tmp/app.pid'文件中添加‘-1’，以形成一个结束不存在的进程的无限循环，从而抵御攻击。

这些发现的时间点在该组织的Windows和Linux加密器的相关报告发布一个多月之后，显示出其威胁的持续性和复杂性。

RansomHub的攻击再次强调了网络安全的紧迫性，组织应审慎提升虚拟环境的防护措施。