信息來(lái)源：Freebuf

近日，卡巴斯基發(fā)出警告，他們監(jiān)測(cè)到一種名為L(zhǎng)una的新型勒索軟件系列正在肆虐。Luna可加密運(yùn)行多個(gè)操作系統(tǒng)的設(shè)備，包括 Windows、Linux 和 ESXi 等主流操作系統(tǒng)。

卡巴斯基安全研究人員在公司暗網(wǎng)威脅情報(bào)主動(dòng)監(jiān)控系統(tǒng)中的某個(gè)暗網(wǎng)勒索軟件論壇廣告發(fā)現(xiàn)了Luna 勒索軟件的身影，有意思的是，該勒索軟件似乎專門是為講俄語(yǔ)的攻擊者所設(shè)計(jì)。

卡巴斯基在報(bào)告中指出，Luna的背景和俄語(yǔ)密不可分，例如它只與講俄語(yǔ)勒索組織進(jìn)行合作；而在它的二進(jìn)制文件中硬編碼的贖金記錄存在語(yǔ)法拼寫錯(cuò)誤，習(xí)慣性拼寫“a little team”而不是“a small team”。這意味著，Luna背后的勒索組織必定是以俄語(yǔ)交流為主。

在俄語(yǔ)中，Luna的意思是“月球”，截止到目前，Luna還是一款較為基礎(chǔ)的勒索軟件，深度功能還在開發(fā)之中，且基于可用的命令行選項(xiàng)功能有限。但是這依舊需要引起注意，因?yàn)長(zhǎng)una使用了一種不太常見的加密方案，使用了X25519 橢圓曲線 Diffie-Hellman 密鑰交換與高級(jí)加密標(biāo)準(zhǔn) (AES) 對(duì)稱加密算法相結(jié)合。

基于 Rust 的跨平臺(tái)勒索軟件

勒索組織在Rust中開發(fā)了這種新型的勒索軟件，并利用其與平臺(tái)無(wú)關(guān)的特性將其移植到多個(gè)平臺(tái)，而對(duì)源代碼的更改很少。

Luna 證實(shí)了跨平臺(tái)勒索軟件的趨勢(shì)：當(dāng)前的勒索軟件團(tuán)伙嚴(yán)重依賴 Golang 和 Rust 等語(yǔ)言。一個(gè)值得注意的例子包括 BlackCat 和 Hive。這些語(yǔ)言與平臺(tái)無(wú)關(guān)，用這些語(yǔ)言編寫的勒索軟件可以很容易地從一個(gè)平臺(tái)移植到其他平臺(tái)，因此攻擊可以同時(shí)針對(duì)不同的操作系統(tǒng)。

例如Linux 和 ESXi 樣本都是使用相同的源代碼編譯，與 Windows 版本相比有一些細(xì)微的變化。其余代碼與 Windows 版本相比沒有重大變化。除此之外，跨平臺(tái)語(yǔ)言有助于規(guī)避靜態(tài)分析。

卡巴斯基表示，鑒于該組織剛剛被發(fā)現(xiàn)并且其活動(dòng)仍在受到監(jiān)控，因此關(guān)于使用 Luna 勒索軟件對(duì)哪些受害者進(jìn)行加密的數(shù)據(jù)非常少。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/new-luna-ransomware-encrypts-windows-linux-and-esxi-systems/