کمیته رکن چهارم – یک عملیات باجافزاری جدید با نام Kyber شناسایی شده که بهطور همزمان سیستمهای Windows و زیرساختهای VMware ESXi را هدف قرار میدهد. این حمله با استفاده از تکنیکهای پیشرفته، بهدنبال تخریب گسترده و همزمان زیرساختهای سازمانی است.
به گزارش کمیته رکن چهارم، در این حمله دو نسخه متفاوت از باجافزار بهصورت همزمان در یک شبکه مستقر شدهاند؛ نسخهای برای محیطهای ESXi و نسخهای دیگر برای سیستمهای Windows که با زبان Rust توسعه یافته است. هر دو نسخه از یک زیرساخت مبتنی بر Tor برای باجگیری استفاده میکنند و دارای شناسه عملیاتی مشترک هستند که نشاندهنده اجرای هماهنگ توسط یک عامل واحد است.
در نسخه مربوط به ESXi، بدافزار قادر است ماشینهای مجازی را شناسایی کرده، datastoreها را رمزگذاری کند و در برخی موارد حتی رابط مدیریتی را با پیام باج تغییر دهد. بررسیها نشان میدهد که این نسخه برخلاف ادعاها از رمزنگاری post-quantum استفاده نمیکند و بهجای آن از الگوریتمهایی مانند ChaCha8 و RSA-4096 بهره میبرد.
در مقابل، نسخه Windows از نظر فنی پیشرفتهتر بوده و علاوه بر رمزگذاری دادهها با AES-CTR، از ترکیبی از Kyber1024 و X25519 برای محافظت از کلیدها استفاده میکند. این نسخه همچنین اقداماتی مانند حذف Shadow Copy، غیرفعالسازی ابزارهای بازیابی، توقف سرویسهای حیاتی و پاکسازی لاگها را انجام میدهد تا امکان بازیابی دادهها را به حداقل برساند.
یک منبع مطلع از این پرونده به کمیته رکن چهارم گفت: «اجرای همزمان حمله روی لایههای مختلف زیرساخت، نشاندهنده افزایش سطح هماهنگی و پیچیدگی در عملیات باجافزاری است.»
پیشینه
در سالهای اخیر، باجافزارها از هدفگیری سیستمهای منفرد به سمت حملات سازمانیافته علیه زیرساختهای مجازی و شبکههای گسترده حرکت کردهاند. همزمان، استفاده آزمایشی از روشهای رمزنگاری جدید نیز در برخی نمونهها مشاهده شده است.
جمعبندی
این حمله نشاندهنده روندی رو به رشد در توسعه باجافزارها است که در آن مهاجمان با هدفگیری همزمان چندین لایه زیرساخت و استفاده از تکنیکهای پیشرفته، بهدنبال ایجاد حداکثر اختلال و کاهش امکان بازیابی هستند.
منبع: BleepingComputer
