打開網易新聞 查看精彩圖片

趨勢科技近期的研究發(fā)現(xiàn)，Albabat 勒索軟件出現(xiàn)了重大演變。如今，它不再僅僅針對 Windows 系統(tǒng)，還將目標對準了 Linux 和 macOS 系統(tǒng)。

這次擴張凸顯出勒索軟件團伙在利用多種操作系統(tǒng)以最大化其影響力方面，正變得越來越復雜。Albabat 組織一直在借助 GitHub 來簡化其運營流程，并利用該平臺管理配置文件以及勒索軟件的基本組件。

打開網易新聞 查看精彩圖片

Fiddler 顯示勒索軟件配置的下載

打開網易新聞 查看精彩圖片

擴大目標和提高運營效率

Albabat 勒索軟件的最新版本，具體指 2.0.0 和 2.5 版本，除了 Windows 系統(tǒng)外，還被設計用于從 Linux 和 macOS 設備收集系統(tǒng)和硬件信息。

打開網易新聞 查看精彩圖片

用于收集 Linux 和 macOS 系統(tǒng)上的硬件和系統(tǒng)信息的腳本

這些版本通過 GitHub REST API 檢索其配置數(shù)據(jù)，使用標有 “Awesome App” 的 “User - Agent” 字符串。

打開網易新聞 查看精彩圖片

根據(jù)趨勢科技的報告，此配置提供了有關勒索軟件行為和操作參數(shù)的關鍵細節(jié)，顯示出一種管理和更新惡意軟件的復雜方式。GitHub 的使用讓攻擊者能夠對勒索軟件的配置進行集中控制，使得更新和調整他們的策略變得更加容易。

該勒索軟件會加密各種文件擴展名，常見格式包括.exe、.lnk、.dll、.mp3 等，同時會跳過特定的文件夾和文件，以避免被發(fā)現(xiàn)或干擾系統(tǒng)操作。它還會終止各種進程，比如任務管理器和生產力軟件，防止用戶干擾其活動。攻擊者將竊取的數(shù)據(jù)存儲在 PostgreSQL 數(shù)據(jù)庫中，這有助于他們追蹤感染情況、監(jiān)控付款情況，并且有可能出售敏感信息。

打開網易新聞 查看精彩圖片

打開網易新聞 查看精彩圖片

Albabat 勒索軟件能夠針對多種操作系統(tǒng)，且利用 GitHub 提高運營效率，這突出了采取強有力網絡安全措施的必要性。

打開網易新聞 查看精彩圖片

組織應優(yōu)先實施強大的訪問控制、定期進行系統(tǒng)更新以及做好安全備份，以此減輕此類攻擊帶來的風險。

實施網絡分段能夠限制勒索軟件的傳播范圍，而開展用戶培訓和增強安全意識的計劃，則有助于防止最初的感染發(fā)生。主動安全解決方案（例如人工智能平臺）能夠通過預測和預防威脅，提供全面的保護，從而降低勒索軟件攻擊的風險。

Albabat 勒索軟件仍在持續(xù)開發(fā)中，2.5 版本可能還在進一步完善，這表明這些威脅會不斷演變。因此，隨時了解入侵指標（IoC）并利用威脅情報，對于維持有效的網絡安全防御、抵御像 Albabat 這樣的新興威脅來說，至關重要。

參考及來源：https://gbhackers.com/albabat-ransomware-targets-windows-linux-and-macos/