برخی منابع خبر دادهاند گردانندگان باجافزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی Vmware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمانها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری و بهینهتر شدن استفاده از منابع سختافزاری بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
حدود یک ماه قبل نیز گردانندگان REvil در یک تالار گفتگوی اینترنتی انتشار نسخه تحت Linux این باجافزار، با توانایی اجرا بر روی دستگاههای NAS را تأیید کرده بودند.
نسخه Linux این باجافزار فایلی که در قالب ELF۶۴ است و شامل تنظیماتی مشابه با نمونههای تحت Windows آن است، با اجرا بر روی سرور، مهاجم میتواند با تعیین مسیر هدف در قالب فرمان زیر، نسبت به فعالسازی حالت موسوم به Silent Mode و در ادامه رمزگذاری فایلها اقدام کند.
با بهرهگیری از ابزار خط فرمان esxcli میتوان ماشینهای مجازی اجرا شده بر روی سرور ESXi را فهرست و آنها را متوقف کرد.
با اجرای فرمان بالا فایلهای VMDK که در پوشه /vmfs/ ذخیره شدهاند بسته میشوند که در نتیجه آن امکان رمزگذاری آنها بدون هرگونه ممانعت ESXi فراهم میشود. با این توضیح که اگر به هر علت، فایل پیش از آغاز فرایند رمزگذاری بهدرستی بسته نشده باشد، ممکن است دادههای آن برای همیشه خراب شود.
به طور خلاصه میتوان گفت که با این تکنیک امکان رمزگذاری تمامی ماشینهای مجازی ESXi تنها با اجرای چند فرمان فراهم میشود.
برخی باجافزارهای مطرح دیگر نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز هدف قراردادن ماشینهای مجازی تحت ESXi را توسط رمزگذارهای Linux در کارنامه دارند.
نشانههای آلودگی (IoC) نمونه پرداخته شده در این گزارش از لینک زیر قابل دریافت است:
https://otx.alienvault.com/pulse/۶۰da۲c۸۰aa۵۴۰۰db۸f۱۵۶۱d۵
منبع:
دیدگاه شما