کمیته رکن چهارم – نسخه جدیدی از باجافزار Play که به نامهای Balloonfly و PlayCrypt نیز شناخته میشود، سیستمهای لینوکس و به طور خاص محیطهای VMware ESXi را هدف گرفته است.
پژوهشگران امنیت سایبری نسخه جدیدی از باجافزار Play را که به نامهای Balloonfly و PlayCrypt نیز شناخته میشود، کشف کردهاند که برای هدف قرار دادن سیستمهای لینوکس و به طور خاص محیطهای VMware ESXi طراحی شده است. VMware ESXiیک هایپروایزور (مجازیساز) است که برای مدیریت ماشینهای مجازی و زیرساختهای IT استفاده میشود. این نسخه جدید از باجافزار Play ممکن است نشانهای از گسترش حملات این گروه به پلتفرمهای لینوکس باشد و این گسترش به این معنی است که مهاجم میتواند دایره قربانیان خود را افزایش دهد.
باجافزار Play که از ژوئن ۲۰۲۲ معرفی شد برای فریب و تحت فشار قرار دادن قربانیان از روشهای دوگانه Double Extortion استفاده میکند. به این صورت که ابتدا دادههای حساس را استخراج کرده و سپس سیستمهای آسیبدیده را رمزگذاری میکند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج میکند و آنها را تهدید میکند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد.
نمونه باجافزار Play هنگامی که اجرا میشود، ابتدا بررسی میکند که آیا در محیط ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایلهای ماشینهای مجازی که شامل دیسکهای ماشین مجازی، فایلهای پیکربندی و فایلهای متاداده هست میکند. پس از رمزگذاری، این فایلها را با افزونه .PLAY ذخیره میکند و در نهایت، یک یادداشت باجگیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار میدهد.
برای اطمینان از امنیت محیطهای ESXi باید به تنظیمات امنیتی، پیکربندی مناسب و بستن پورتهایی که نیاز به استفاده از آن نیست، توجه شود. نظارت مستمر بر ترافیک شبکه و فعالیتهای غیرعادی و محدود کردن دسترسی ها و جداسازی شبکههای حساس و سرورها و سیستمهای حیاتی نیز از ضروریات است و بدیهی است که آگاهیرسانی به کارکنان درباره فیشینگ و نحوه تشخیص ایمیلها و لینکهای مشکوک میتواند میزان نفوذ باجافزار را کاهش دهد. به دلیل هدف قرار دادن محیطهای VMware ESXi پشتیبانگیری منظم و امن از ماشینهای مجازی اهمیت زیادی دارد.
منبع: افتانا