3月勒索软件HelloKitty锁定VMware ESXi发动攻击，Palo Alto揭露目前灾情与受害范围

今年2月，制作电玩《电驭叛客2077》（Cyberpunk 2077）开发商的CD Projekt，惊传遭到勒索软件攻击，后来有资安业者指出，攻击的勒索软件名为HelloKitty。但资安业者Palo Alto Networks指出，目前这款勒索软件发展出Linux版本，自今年3月开始锁定服务器虚拟化平台VMware ESXi，且已有受害组织并支付赎金。

HelloKitty最早大约是自2020年底开始出现，主要锁定Windows操作系统，根据资安公司FireEye的发现，它是从另一款称做DeathRansom的勒索软件衍生而来的变种，为了避免受害者透过备份资料复原，HelloKitty会删除Windows电脑的磁盘区阴影复制（Volume Shadow Copy）内容。

在今年7月中旬，资安研究组织MalwareHunterTeam就发现了数个锁定VMware ESXi的HelloKitty勒索软件，自3月开始发动攻击，使用ESXi命令列工具（esxcli）关闭虚拟机器（VM），但并未提及受害规模。

而对于这款勒索软件的近况，Palo Alto提出了更多的发现。该公司指出，这款勒索软件发展可说是相当迅速，近期的版本更是透过Go语言编译，而且只会在内存内载入、执行，这么做的目的，很可能是为了回避资安防护系统的侦测。

Palo Alto表示，他们在2021年7月，发现档案名称为funny_linux.elf的勒索软件，其中的勒索讯息，措辞与Windows版的HelloKitty相符，他们进一步追查发现， Linux版的HelloKitty，最早约从2020年10月开始发展，并在2021年3月开始攻击VMware ESXi，研究人员观察到有6个受影响的组织。

这些组织分别是：意大利与荷兰制药组织、德国制造商、澳洲工业自动化解决方案业者，以及位于美国的医疗办公室与股票经纪人。

研究人员发现，攻击者疑似依据受害组织的规模，而开出不同的赎金价码，他们看到骇客收取的是门罗币，金额最高的是1千万美元，最低的则是95万美元，落差相当大。除了门罗币，这些骇客也接受以比特币支付的赎金，但Palo Alto表示，受害组织若是使用比特币付赎金，攻击者会收取较高的金额。而研究人员根据骇客提供的比特币钱包位址进行追踪，骇客收到3笔款项，总计1,477,872.41美元。

而对于攻击者向受害组织勒索的方式，Palo Alto也从勒索讯息中看到不同的内容，在不同受害组织的HelloKitty软件里，骇客留下的联络方式，同时具备洋葱网络（Tor）的网址，以及针对受害单位的Protonmail电子邮件信箱，研究人员依据这个现象研判，可能有多组攻击者使用相同的恶意软件程式码基础（Codebase）。不过，其中一个受害组织收到的勒索讯息里，骇客没有留下联络资讯。