最早实现跨平台攻击功能的勒索软件组织是RedAlert和Monster,他们可以针对目标的多个操作系统和环境实施该攻击。
跨平台攻击的攻击者只需编写一次特定的程序功能,就可以使用生成的代码编写针对多个目标的攻击脚本,这种攻击不仅能阻碍分析,还可以针对特定受害者环境定制攻击。攻击者可以使用命令行自定义攻击,例如,在针对特定类型的客户端虚拟机时,允许代码在ESXi环境中运行。这也让安全专家检测和预防勒索软件攻击变得更加困难。
从2021年开始,黑产在单个受害者的环境中攻击多种客户端操作系统的能力开始呈现增长趋势。RedAlert可在面向Linux系统的C语言版本中开发可执行文件,同时还支持VMware的企业级ESXi管理程序。而Monster则使用较旧的跨平台语言Delphi,可以轻松针对特定受害者的系统配置定制攻击。
卡巴斯基曾发表过一篇报告指出,勒索软件团伙在多平台攻击中对n-day漏洞(又称“1-day”漏洞)的利用方面做得越来越好。“N天”是指刚刚报告的漏洞,网络犯罪分子在公司有时间修补它们之前竞相利用。
勒索软件实现跨平台攻击的一个常见方法是使用支持其他平台的语言编写代码,例如Rust或Golang。
根据Palo Alto Networks Unit 42的数据,目前有包括Agenda、BlackCat、Hive和Luna四个勒索软件组织使用Go编程语言,其中Agenda还提供针对每个受害者的“软件定制服务”。
由于分析上述语言的工具没有C语言程序分析工具成熟,因此用Rust和Go编写的勒索软件会让恶意软件研究人员的分析工作更加困难。
那么,在什么样的情况下容易被跨平台攻击呢?答案不论什么,只要是被大家所喜爱的流行、有新闻价值或热门消息都有可能被黑客利用。
未来可能会有越来越多的跨平台的威胁出现。黑产会将移动设备作为恶意软件的载体用来攻击企业或政府机构,一旦受感染的移动设备连接或同步到公司系统,就能立马从内部散播感染整个网络,窃取公司重要数据。
因此,为防止威胁在不同平台中跳跃,未来不管是工作还是家庭环境的设备都应该进行安全优化,并且要对相关人员定期进行安全培训,防止跨平台攻击的实现。