勒索軟體Cicada3301鎖定VMware虛擬化平臺、NAS設備而來

一般而言，勒索軟體的攻擊目標多半是Windows電腦，到了前幾年，陸續有駭客組織針對VMware虛擬化平臺ESXi開發Linux版勒索軟體，然而最近出現的新勒索軟體，更進一步做到可橫跨多個平臺運作，而引起研究人員的注意。

資安業者Group-IB揭露從今年6月開始出沒的新興勒索軟體Cicada3301，3個月內已有30家企業組織遭受攻擊。特別的是，駭客以Rust打造勒索軟體，不只能在Windows、Linux電腦，以及VMware ESXi運作，罕見的是，網路儲存設備（NAS）、PowerPC架構的電腦，也無法倖免於難。

這款勒索軟體採用ChaCha20及RSA演算法加密檔案，並具備其他同類作案工具的特質，包含同時使用多個處理器執行緒以加密檔案、能透過網路而在遠端運作，並能指定加密部分檔案、終止處理程序，以及在加密前清除磁碟區陰影複製服務備份、系統還原點、資源回收筒檔案。

此外，該勒索軟體還能終止虛擬化平臺的運作，不僅能用於前述的VMware ESXi，還能對微軟Hyper-V出手，將虛擬機器（VM）關機。

研究人員成功入侵該勒索軟體部分附屬組織並著手調查，指出經營者採取相當複雜的制度，駭客在RAMP駭客論壇尋找滲透測試員與初始管道掮客，必須通過小型面試才能成為附屬成員，而且，一旦成功收到贖金，成員將能獲得20%獎勵。附帶一提的是，他們嚴格禁止成員攻擊獨立國家國協（CIS）的企業組織。

此批駭客攻擊的目標，大多集中在美國和英國，但義大利、丹麥、瑞士、阿拉伯聯合大公國（UAE），日本也出現事故；從企業組織的產業類型來看，攻擊者似乎較為偏好房仲業者、金融服務、製造業、專家服務。