勒索軟體REvil盯上Linux平臺

威脅情資公司Advanced Intelligence（AdvIntel）的研究主管Yelisey Boguslavskiy在本周披露，知名勒索軟體REvil已盯上Linux平臺，開始利用Linux加密工具來攻擊與加密VMware ESXi虛擬機器。

2019年現身的REvil專門鎖定大型企業展開攻擊，它被Coveware列為今年第一季最活躍的勒索軟體，市占率為14.2%，領先Conti V2的10.2%、Lockbit的7.5%與Clop的7.1%，也被卡巴斯基視為今年最危險的前五大勒索軟體，與Maze、Conti、Netwalker及DoppelPaymer並列。

REvil的攻擊對象橫跨20個領域，從製造業、金融業到電信產業等，今年以來，包括宏碁、日月光孫公司Asteelflash Group、廣達、美國核武外包商Sol Oriens及美國再生能源業者Invenergy的被駭事件，據說都與REvil勒索軟體有關。卡巴斯基則說，迄今REvil向受害者所勒索的最高贖金紀錄，是在今年3月攻擊宏碁時提出的5,000萬美元。

至於被REvil鎖定的VMware ESXi，是VMware所開發的企業級Type 1的Hypervisor，它直接整合重要的作業系統元件，並直接安裝於硬體上。

其實Boguslavskiy今年5月便發現，REvil集團已釋出Linux版的加密工具，用來加密NAS裝置，現在則更進一步鎖定ESXi伺服器。另一資安團隊MalwareHunterTeam也證實了Linux版REvil勒索軟體的存在。

值得注意的是，Emsisoft技術長Fabian Wosar向BleepingComputer透露，把觸角伸進VMware ESXi的並不只是REvil，包括Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide與Hellokitty，也都打造了鎖定ESXi機器的Linux加密工具。