趋势科技近期的研究发现，Albabat 勒索软件出现了重大演变。如今，它不再仅仅针对 Windows 系统，还将目标对准了 Linux 和 macOS 系统。

这次扩张凸显出勒索软件团伙在利用多种操作系统以最大化其影响力方面，正变得越来越复杂。Albabat 组织一直在借助 GitHub 来简化其运营流程，并利用该平台管理配置文件以及勒索软件的基本组件。

Fiddler 显示勒索软件配置的下载

扩大目标和提高运营效率

Albabat 勒索软件的最新版本，具体指 2.0.0 和 2.5 版本，除了 Windows 系统外，还被设计用于从 Linux 和 macOS 设备收集系统和硬件信息。

用于收集 Linux 和 macOS 系统上的硬件和系统信息的脚本

这些版本通过 GitHub REST API 检索其配置数据，使用标有 “Awesome App” 的 “User - Agent” 字符串。

根据趋势科技的报告，此配置提供了有关勒索软件行为和操作参数的关键细节，显示出一种管理和更新恶意软件的复杂方式。GitHub 的使用让攻击者能够对勒索软件的配置进行集中控制，使得更新和调整他们的策略变得更加容易。

该勒索软件会加密各种文件扩展名，常见格式包括.exe、.lnk、.dll、.mp3 等，同时会跳过特定的文件夹和文件，以避免被发现或干扰系统操作。它还会终止各种进程，比如任务管理器和生产力软件，防止用户干扰其活动。攻击者将窃取的数据存储在 PostgreSQL 数据库中，这有助于他们追踪感染情况、监控付款情况，并且有可能出售敏感信息。

安全隐患和建议

Albabat 勒索软件能够针对多种操作系统，且利用 GitHub 提高运营效率，这突出了采取强有力网络安全措施的必要性。

组织应优先实施强大的访问控制、定期进行系统更新以及做好安全备份，以此减轻此类攻击带来的风险。

实施网络分段能够限制勒索软件的传播范围，而开展用户培训和增强安全意识的计划，则有助于防止最初的感染发生。主动安全解决方案（例如人工智能平台）能够通过预测和预防威胁，提供全面的保护，从而降低勒索软件攻击的风险。

Albabat 勒索软件仍在持续开发中，2.5 版本可能还在进一步完善，这表明这些威胁会不断演变。因此，随时了解入侵指标（IoC）并利用威胁情报，对于维持有效的网络安全防御、抵御像 Albabat 这样的新兴威胁来说，至关重要。

参考及来源：https://gbhackers.com/albabat-ransomware-targets-windows-linux-and-macos/