کمیته رکن چهارم – مهاجمان HelloKitty از طریق نسخه تحت Linux این باجافزار در حال هدف قراردادن سرورهای Vmware ESXi هستند.
اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سیدی پروجکت (CD Projekt SA)، بهعنوان یکی از مطرحترین تولیدکنندگان بازیهای ویدئویی توجه رسانهها را به این باجافزار جلب کرد.
ظهور نسخه Linux این باجافزار و درنتیجه توانایی آن در رمزگذاری فایلهای ESXi، دامنه تخریب HelloKitty را بهشدت افزایش میدهد. بهخصوص آنکه سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینهتر شدن استفاده از منابع سختافزاری بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
فایل Vmware ESXi یکی از پرطرفدارترین بسترهای مجازیسازی است. در یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باجافزار خودبرای هدف قراردادن این بستر کردهاند، روندی صعودی داشته است.
اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوتهایی با توزیعهای متداول Linux دارد اما همان شباهتهای موجود بهویژه قابلیت اجرای فایلهای ELF۶۴، آن را به اینگونه باجافزارها آسیبپذیرتر میکند.
بررسی محققان نشان میدهد نسخه Linux باجافزار HelloKitty حداقل از دو ماه قبل، از esxcli برای متوقف کردن ماشینهای مجازی استفاده میکرده است.
esxcli یک ابزار مدیریتی خط فرمان است که از طریق آن میتوان فهرست ماشینهای مجازی در حال اجرا را استخراج و آنها را متوقف کرد.
هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آنها بدون هرگونه ممانعت ESXi است؛ با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری بهدرستی بسته نشده باشد ممکن است دادههای آن برای همیشه از بین برود.
باجافزار ابتدا تلاش میکند با سوئیچ soft ماشین مجازی را بهصورت عادی خاموش کند.
esxcli vm process kill -t=soft -w=%d
درصورتیکه ماشین همچنان در حال اجرا باقی بماند از سوئیچ hard برای خاموشکردن فوری آن بهره گرفته میشود.
esxcli vm process kill -t=hard -w=%d
اگر هیچکدام از فرمانهای بالا مؤثر نبود از سوئیچ force برای متوقف سازی ماشین استفاده میشود.
esxcli vm process kill -t=force -w=%d
پس ازکارافتادن ماشین مجازی، باجافزار رمزگذاری فایلهای vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فرادادهها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز میکند.
به طور خلاصه میتوان گفت که با این تکنیک امکان رمزگذاری تمامی ماشینهای مجازی ESXi تنها با اجرای چند فرمان فراهم میشود.
اوایل این ماه نیز برخی منابع خبر دادند مهاجمان باجافزار REvil با بهکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی VMware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
باجافزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قراردادن ماشینهای مجازی ESXi استفاده میکنند.
به نظر میرسد اصلیترین دلیل مهاجمان در ساخت نگارش تحت Linux باجافزار خود، هدف قراردادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.
HelloKitty حداقل از نوامبر ۲۰۲۰ فعال بوده است. در مقایسه با باجافزارهای مطرحی که بهصورت هدفمند به سازمانها حمله میکنند، HelloKitty را نمیتوان چندان فعال دانست.
حمله باجافزاری به سیدی پروجکت بزرگترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازیهای ساخت این شرکت را نیز به سرقت بردهاند؛ این مهاجمان پس از مدتی اعلام کردند که فایلهای سرقت شده را به فروش رساندهاند.
لازم به ذکر است اخیراً نیز برخی منابع از حمله باجافزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیبپذیریهای سریهای ۱۰۰ محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند. به گفته این منابع، ثابتافزار (Firmware) تجهیزات مورد حمله همگی از ردهخارج و آسیبپذیر بودهاند.
شرکت SonicWall در خصوص حملات فعال باجافزاری بر روی تجهیزات دسترسی از راه دور زیر که وصله نشده یا از ثابتافزار نسخههای ۸.x که دیگر پشتیبانی نمیشوند (EOL)، استفاده میکنند، هشدار داد:
Secure Mobile Access (SMA) ۱۰۰ series
Secure Remote Access (SRA)
حملات باجافزاری با بهرهبرداری از یک آسیبپذیری شناختهشده که در اوایل سال ۲۰۲۱ در نسخههای جدیدتر توسط SonicWall وصله شده بود، انجام میشود. سازمانهایی که از تجهیزات زیر با ثابتافزار نسخههای ۸.x استفاده میکنند باید نسخه ثابتافزار را به نسخههای ۹.x یا ۱۰.x ارتقا داده و یا بهطور کلی اتصال آن تجهیز را از اینترنت قطع کنند:
SRA ۴۶۰۰/۱۶۰۰ (EOL ۲۰۱۹)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SRA ۴۲۰۰/۱۲۰۰ (EOL ۲۰۱۶)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SSL-VPN ۲۰۰/۲۰۰۰/۴۰۰ (EOL ۲۰۱۳/۲۰۱۴)
قطع سریع اتصال تجهیز
ریست کردن رمزهای عبور
SMA ۴۰۰/۲۰۰ (این تجهیز همچنان در حالت Retirement به صورت محدود پیشتیبانی میشود)
بهروزرسانی سریع به ۱۰.۲.۰.۷-۳۴ یا ۹.۰.۰.۱۰
ریست کردن رمزهای عبور
فعال کردن احراز هویت چند عاملی (MFA)
منبع : افتانا
