新型RedAlert勒索病毒攻击VMWare ESXi服务器

安全人员近期追踪到一款主要针对Windows和Linux VMWare ESXi服务器进行加密攻击的名为 RedAlert 的勒索病毒。

据悉，RedAlert 勒索病毒又被称为是 N13V 勒索病毒，这是一款于 2022 年07月首次被曝光和追踪的新型勒索病毒。

之所以被称为 N13V 勒索病毒，是因为该勒索组织内部将其命名为 N13V，和大部分勒索组织一样维护了暗网网站。

该勒索组织通过其暗网网站公布了一名受害者，而受害者确实通过官网公布遭遇黑客入侵已会同安全专家开展工作。

该受害者企业声称确实遭遇攻击，但无法肯定数据库是否已经被泄露，为了透明度考虑已经通知了客户提醒其注意。

该受害者企业称根据安全专家的分析研判，攻击者并未入侵核心数据库，目前正在运行的项目也没有受到任何影响。

目标设备被入侵后，利用-w参数使用esxcli命令强制关闭 VM 虚拟机服务器，然后使用-p参数，加密指定目录的文件。

接下来就会生成加密配置文件内容，等加密工作完成之后，在当前目录生成勒索提示信息文件HOW_TO_RESTORE。

之后再使用 -x 进行勒索病毒加密性能测试，此时我们可以发现受害者设备中被加密的文件后缀已经变成了crypt658。

接下来的操作是初始化硬编码的公钥加密密钥信息，利用 NTRUEncrypt 公钥加密算法，将密钥信息写入配置文件中。

接着生成该勒索病毒的配置文件信息，之后开始遍历磁盘目录下所有文件，根据指定后缀列表对相关文件进行加密。

接下来，使用 ChaCha20-Poly1305 加密算法加密文件，等待所有加密工作全部完成之后，生成勒索提示信息文件。

通过上述分析，我们不难发现，这款勒索病毒已经开始采用 NTRUEncrypt 和 ChaCha20-Poly1305 等新型加密算法。

且根据生成的勒索提示新型文件来看，勒索组织使用自定义的勒索病毒样本攻击受害者，使得勒索攻击产生个性化。

意味着勒索组织使用 RAAS 平台生成不同勒索样本，每个受害者看到的勒索提示信息和对应暗网网站地址不尽相同。

这种勒索攻击手段当下非常新颖，无论对于安全厂商和勒索组织的目标用户以及普通用户来说都是一个全新的挑战。

当然值得庆幸的是该勒索病毒尚未发现大规模攻击行为，但并不意味着我们就应该放下警惕性，而应保持高度警惕。

其实在很多人眼里 Linux 平台是非常安全的，笔者的意识范畴里也确实如此，但近些年来针对 Linux 平台逐渐活跃。

这就不得不引起我们的警觉，毕竟很多个人和企业用户的生产环境都运行在 Linux 平台上的，它也不是绝对安全的。