【安全资讯】Beast勒索软件：RaaS平台针对Windows、Linux和VMware ESXi

概要：

近年来，勒索软件作为服务（RaaS）平台的兴起使网络犯罪活动愈加猖獗。Beast勒索软件自2022年起活跃于网络，针对多种操作系统进行攻击，给企业和组织带来了严重威胁。本文将深入探讨Beast的工作原理及其对网络安全的影响。

主要内容：

Beast勒索软件，亦称Monster，具备高度的可定制性，允许其附属者根据不同目标调整恶意软件。该平台支持Windows、Linux和VMware ESXi服务器，利用Elliptic-curve加密和ChaCha20加密模型，确保文件加密的安全性。其多线程队列加快了加密速度，同时在加密数据前终止关键服务，以避免干扰。

该勒索软件的独特之处在于其跨平台操作能力。Windows版本支持ZIP包装模式，将文件转换为嵌入赎金说明的.zip文件，并通过子网扫描识别并感染附近系统。Linux和ESXi版本则允许攻击者在加密文件前关闭虚拟机，进一步干扰目标操作。

Beast还具备自传播机制，通过SMB扫描自动寻找并感染同一网络中的脆弱系统，使其在大规模攻击中极具威胁。此外，Beast会检查系统的默认语言设置和IP地址，避免在独联体国家（如俄罗斯、白俄罗斯和摩尔多瓦）进行加密，以规避当地执法的注意。

为了确保受害者无法通过系统备份恢复被加密的文件，Beast针对Windows系统的影子副本进行攻击，调用IWbemServices::ExecQuery命令查询并删除影子副本，确保没有备份文件残留。这一措施对于防止受害者利用系统恢复绕过勒索攻击至关重要。