آخرین اخبار
صفحه اصلی
اخبار

حمله HelloKitty به سرورهای ESXi

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
266 نمایش ها

کمیته رکن چهارم – مهاجمان HelloKitty از طریق نسخه تحت Linux این باج‌افزار در حال هدف قراردادن سرورهای Vmware ESXi هستند.

اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سی‌دی پروجکت (CD Projekt SA)، به‌عنوان یکی از مطرح‌ترین تولیدکنندگان بازی‌های ویدئویی توجه رسانه‌ها را به این باج‌افزار جلب کرد.

ظهور نسخه Linux این باج‌افزار و درنتیجه توانایی آن در رمزگذاری فایل‌های ESXi، دامنه تخریب HelloKitty را به‌شدت افزایش می‌دهد. به‌خصوص آنکه سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.

فایل‌ Vmware ESXi یکی از پرطرف‌دارترین بسترهای مجازی‌سازی است. در یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باج‌افزار خودبرای هدف قراردادن این بستر کرده‌اند، روندی صعودی داشته است.

اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوت‌هایی با توزیع‌های متداول Linux دارد اما همان شباهت‌های موجود به‌ویژه قابلیت اجرای فایل‌های ELF۶۴، آن را به این‌گونه باج‌افزارها آسیب‌پذیرتر می‌کند.

بررسی محققان نشان می‌دهد نسخه Linux باج‌افزار HelloKitty حداقل از دو ماه قبل، از esxcli برای متوقف کردن ماشین‌های مجازی استفاده می‌کرده است.

esxcli یک ابزار مدیریتی خط فرمان است که از طریق آن می‌توان فهرست ماشین‌های مجازی در حال اجرا را استخراج و آن‌ها را متوقف کرد.

هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آن‌ها بدون هرگونه ممانعت ESXi است؛ با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری به‌درستی بسته نشده باشد ممکن است داده‌های آن برای همیشه از بین برود.

باج‌افزار ابتدا تلاش می‌کند با سوئیچ soft ماشین مجازی را به‌صورت عادی خاموش کند.
esxcli vm process kill -t=soft -w=%d

درصورتی‌که ماشین همچنان در حال اجرا باقی بماند از سوئیچ hard برای خاموش‌کردن فوری آن بهره گرفته می‌شود.
esxcli vm process kill -t=hard -w=%d

اگر هیچ‌کدام از فرمان‌های بالا مؤثر نبود از سوئیچ force برای متوقف سازی ماشین استفاده می‌شود.
esxcli vm process kill -t=force -w=%d

پس ازکارافتادن ماشین مجازی، باج‌افزار رمزگذاری فایل‌های vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فراداده‌ها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز می‌کند.

به طور خلاصه می‌توان گفت که با این تکنیک امکان رمزگذاری تمامی ماشین‌های مجازی ESXi تنها با اجرای چند فرمان فراهم می‌شود.

اوایل این ماه نیز برخی منابع خبر دادند مهاجمان باج‌افزار REvil با به‌کارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آن‌ها هستند.

باج‌افزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قراردادن ماشین‌های مجازی ESXi استفاده می‌کنند.

به نظر می‌رسد اصلی‌ترین دلیل مهاجمان در ساخت نگارش تحت Linux باج‌افزار خود، هدف قراردادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.

HelloKitty حداقل از نوامبر ۲۰۲۰ فعال بوده است. در مقایسه با باج‌افزارهای مطرحی که به‌صورت هدفمند به سازمان‌ها حمله می‌کنند، HelloKitty را نمی‌توان چندان فعال دانست.

حمله باج‌افزاری به سی‌دی پروجکت بزرگ‌ترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازی‌های ساخت این شرکت را نیز به سرقت برده‌اند؛ این مهاجمان پس از مدتی اعلام کردند که فایل‌های سرقت شده را به فروش رسانده‌اند.

لازم به ذکر است اخیراً نیز برخی منابع از حمله باج‌افزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیب‌پذیری‌های سری‌های ۱۰۰ محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند. به گفته این منابع، ثابت‌افزار (Firmware) تجهیزات مورد حمله همگی از رده‌خارج و آسیب‌پذیر بوده‌اند.

شرکت SonicWall در خصوص حملات فعال ‫باج‌افزاری بر روی تجهیزات دسترسی از راه دور زیر که وصله نشده یا از ثابت‌افزار نسخه‌‌های ۸.x که دیگر پشتیبانی نمی‌شوند (EOL)، استفاده می‌کنند، هشدار داد:
Secure Mobile Access (SMA) ۱۰۰ series
Secure Remote Access (SRA)

حملات باج‌افزاری با بهره‌برداری از یک ‫آسیب‌پذیری شناخته‌شده که در اوایل سال ۲۰۲۱ در نسخه‌های جدیدتر توسط SonicWall وصله شده بود، انجام می‌شود. سازمان‌هایی که از تجهیزات زیر با ثابت‌افزار نسخه‌های ۸.x استفاده می‌کنند باید نسخه‌ ثابت‌افزار را به نسخه‌های ۹.x یا ۱۰.x ارتقا داده و یا به‌طور کلی اتصال آن تجهیز را از اینترنت قطع کنند:

SRA ۴۶۰۰/۱۶۰۰ (EOL ۲۰۱۹)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SRA ۴۲۰۰/۱۲۰۰ (EOL ۲۰۱۶)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SSL-VPN ۲۰۰/۲۰۰۰/۴۰۰ (EOL ۲۰۱۳/۲۰۱۴)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SMA ۴۰۰/۲۰۰ (این تجهیز همچنان در حالت Retirement به صورت محدود پیشتیبانی می‌شود)
به‌روزرسانی سریع به ۱۰.۲.۰.۷-۳۴ یا ۹.۰.۰.۱۰
ریست کردن رمزهای عبور
فعال کردن احراز هویت چند عاملی (MFA)

منبع : افتانا

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.