کمیته رکن چهارم – باجافزار AvasLocker به دنبال قربانی گرفتن از میان کاربران سرورهای VMware ESXi است.
به گفته محققان امنیتی، به تازگی مهاجمان AvosLocker رمزگذاری سیستمهای تحت Linux را در ماشینهای مجازی VMware ESXi آغاز کردهاند. محققان حداقل یک قربانی را شناسایی نمودهاند که با درخواست باج ۱ میلیون دلاری مورد حمله قرار گرفته است.
در چندماه گذشته، مهاجمان AvosLocker هنگام تبلیغ عملکرد عالی و قابلیت رمزگذاری بالای آخرین گونههای باجافزاری خود با نامهای Windows Avos۲ و AvosLinux، به شرکای خود هشدار دادند که از حمله به کشورهای عضو سابق اتحاد جماهیر شوروی (کشورهای مشترکالمنافع) خودداری کنند.
محققان با بررسی حملات باجافزار AvasLocker به این نکته پی بردند که این باجافزار، پس از راهاندازی در سیستم Linux، تمام ماشینهای ESXi سرور را با استفاده از فرمان زیر خاتمه میدهد.
باجافزار پس از رمزگذاری فایلهای در یک سیستم آسیبپذیر، پسوند avoslinux. را آنها اضافه میکند. سپس فایلهایی موسوم به اطلاعیههای باجگیری (Ransom Note) را ایجاد کرده و از قربانیان درخواست میکند که بهمنظور خراب نشدن فایلها، کامپیوترهای خود را خاموش نکنند و برای جزئیات بیشتر در مورد نحوه پرداخت باج به سایت Tor مربوط به آنها مراجعه کنند.
AvosLocker باجافزار جدیدی است که برای اولینبار در تابستان ۲۰۲۱ فعالیت خود را آغاز کرد و گردانندگان آن در تالارهای گفتگو از سایر مهاجمان دعوت کردند تا به خدمات موسوم به “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – بهاختصار RaaS) آنها که بهتازگی راهاندازی کردهاند، بپیوندند. بنا بر اظهارت یکی از محققان، باجافزار AvosLocker از نوامبر ۲۰۲۱ شروع به رمزگذاری سیستمهای تحت Linux کرده است.
این مهاجمان، ماشینهای مجازی ESXi مستقر در سازمانها را که بهمنظور مدیریت سادهتر و استفاده کارآمدتر از منابع به این ماشینهای مجازی روی آوردهاند، مورد هدف قرار دادهاند. از طرفی مهاجمان باجافزاری باهدف قراردادن این ماشینهای مجازی، از رمزگذاری آسانتر و سریعتر چندین سرور تنها با اجرای یک فرمان بهره میگیرند.
در عرض چند ماه پس از کشف رمزگذاری سیستمهای تحت Linux توسط گردانندگان REvil که ماشینهای مجازی VMware ESXi را مورد هدف قرار دادند، باجافزارهای دیگری از جمله Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز اقدام به رمزگذارهای سیستمهای تحت Linux کردهاند.
نسخه Linux باجافزار HelloKitty و BlackMatter نیز در ماههای ژوئیه و آگوست توسط محققان امنیتی کشف شد. از ماه اکتبر، باجافزار Hive نیز رمزگذاری سیستمهای تحت Linux و FreeBSD را با استفاده از انواع جدیدی از بدافزار خود آغاز کرد.
محققان اظهار داشتهاند که ازآنجاییکه سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری، بهینهتر شدن استفاده از منابع سختافزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آوردهاند، اکثر گروههای باجافزاری نسخه مبتنی بر Linux باجافزار خود را پیادهسازی کردهاند تا ماشینهای ESXi را مورد هدف قرار دهند.
منبع : مرکز مدیریت راهبردی افتا
