Vmware ESXi، هدف جدید باج‌افزار REvil

برخی منابع خبر داده‌اند گردانندگان باج‌افزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی Vmware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.
به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.
حدود یک ماه قبل نیز گردانندگان REvil در یک تالار گفتگوی اینترنتی انتشار نسخه تحت Linux این باج‌افزار، با توانایی اجرا بر روی دستگاه‌های NAS را تأیید کرده بودند.
نسخه Linux این باج‌افزار فایلی که در قالب ELF۶۴ است و شامل تنظیماتی مشابه با نمونه‌های تحت Windows آن است، با اجرا بر روی سرور، مهاجم می‌تواند با تعیین مسیر هدف در قالب فرمان زیر، نسبت به فعال‌سازی حالت موسوم به Silent Mode و در ادامه رمزگذاری فایل‌ها اقدام کند.

با بهره‌گیری از ابزار خط فرمان esxcli می‌توان ماشین‌های مجازی اجرا شده بر روی سرور ESXi را فهرست و آنها را متوقف کرد.

 با اجرای فرمان بالا فایل‌های VMDK که در پوشه /vmfs/ ذخیره شده‌اند بسته می‌شوند که در نتیجه آن امکان رمزگذاری آنها بدون هرگونه ممانعت ESXi فراهم می‌شود. با این توضیح که اگر به هر علت، فایل پیش از آغاز فرایند رمزگذاری به‌درستی بسته نشده باشد، ممکن است داده‌های آن برای همیشه خراب شود.
به طور خلاصه می‌توان گفت که با این تکنیک امکان رمزگذاری تمامی ماشین‌های مجازی ESXi تنها با اجرای چند فرمان فراهم می‌شود.
برخی باج‌افزارهای مطرح دیگر نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز هدف قراردادن ماشین‌های مجازی تحت ESXi را توسط رمزگذارهای Linux در کارنامه دارند.
نشانه‌های آلودگی (IoC) نمونه پرداخته شده در این گزارش از لینک زیر قابل دریافت است:

https://otx.alienvault.com/pulse/۶۰da۲c۸۰aa۵۴۰۰db۸f۱۵۶۱d۵

منبع:

https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.