历史上，攻击者或AvosLocker勒索软件组的附属公司正在使用proxyshell来利用Microsoft Exchange Server漏洞，损害受害者的网络，例如CVE-2021-34473，CVE-2021-31206，CVE-2021-34523和CVE-2021-31207。 一旦攻击者访问计算机，他们就会部署mimikatz来转储密码。攻击者可以使用标识的密码获取对域控制器的RDp访问权限，从而从受感染的计算机中泄露数据。最后，攻击者将AvosLocker勒索软件部署在受害者系统上，以加密受害者的文档和文件，而新的针对Linux平台变种则有不同的行为。

　　技术分析

　　基于对新变种的静态分析，我们发现恶意文件是基于x64的可执行的ELF文件，如图1所示。

　　在Linux计算机上执行AvosLocker勒索软件时，它会指示用户运行一个命令，该命令具有指定要加密的目录路径的参数。此外，该命令还有另一个参数，该参数表示加密过程中要涉及的线程数。内置的多线程处理功能可帮助攻击者更快地加密文件，如图2所示。

　　执行后，AvosLocker会检查是否存在VMware Elastic Sky X Integrated（ESXi）、虚拟机文件系统（VMFS），并使用下图中给出的命令杀死正在运行的虚拟机（VM）。

　　下图显示恶意软件将扩展名。avoslinux附加在加密受害者计算机上的文件名后。

　　在加密文件之前，恶意软件使用互斥锁/解锁ApI执行线程同步操作，以避免加密过程冲突，如图5所示。

　　加密文件的内容在文件末尾具有编码的内容。如下图所示，目前有理由怀疑编码的数据包含用于加密文件的加密密钥。

　　在开始加密过程之前，恶意软件会在特定驱动器中删除名称为README_FOR_RESTORE.txt的赎金记录，然后，像其他勒索软件组一样，攻击者指示受害者访问TOR网站，如下图所示：

　　当受害者访问AvosLocker的TOR网站时，它会要求赎金票据上给出的ID以继续进行付款过程，如下图所示：

　　一旦受害者输入ID，网站将重定向到付款页面，攻击者指示受害者支付1000000.00美元或4629.63门罗币或28.61比特币，如果受害者不在截止日期前支付赎金，赎金金额将翻倍。

　　对于通过门罗币付款，攻击者提供了门罗币ID和付款ID，如图9所示：

　　其它

　　当受害者未能支付赎金时，攻击者会在其泄密网站上泄露了受害者的详细信息。下图显示了Avoslocker泄漏网站与最近的受害者：

　　此外，泄漏网站指出，攻击者提到了一个提供勒索软件即服务（RaaS）的联盟计划，其中包括了联盟面板，呼叫服务等，如下图所示：

　　勒索软件组织正在寻求支持，以在美国、加拿大、英国和澳大利亚等国家/地区扩展其网络犯罪勒索软件业务，如下图所示：

　　结论

　　通过分析，Linux平台可能有新版本的AvosLocker勒索软件，在最新版本中，网络犯罪分子添加了一个独特的代码，以使用新的策略来发展其Raas服务（勒索即服务），借此针对ESXi和VMFS机器。因此，可以认为，AvosLocker勒索软件即将推出的变体可能会以增强形式出现。