به گفته برخی منابع، گردانندگان باجافزار BlackMatter با بهکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی VMware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمانها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری، بهینهتر شدن استفاده از منابع سختافزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
BlackMatter یک گروه باجافزاری نسبتاً جدید است که حملات آن از ماه گذشته آغاز شده است. گردانندگان این باجافزار روز ۳۰ تیر، در یکی از تالارهای گفتگوی اینترنتی هکرها، پیامهایی در خصوص خرید اطلاعات دسترسی شبکههای سازمانی منتشرکردند.
با بررسی پیامهای مهاجمان و نحوه عملکرد آنها به نظر میرسد که گردانندگان باجافزار BlackMatter افرادی بسیار حرفهای بودهاند و بهاحتمال زیاد باجافزار آنها، بر پایه باجافزاری مطرح و سابقهدار توسعه داده شده است.
برخی محققان نیز معتقدند باجافزار BlackMatter محصول گروهی است که قبلاً با DarkSide و REvil همکاری داشتهاند. پس از یافتن نمونههای این باجافزار توسط محققان، مشخص شد که روال و روش رمزگذاری مورداستفاده در این باجافزار، همان شیوه منحصربهفرد مورداستفاده در DarkSide است.
سال گذشته گزارش شد که گردانندگان باجافزار REvil، برای فرار از پیگردهای قانونی، نام خود به DarkSide تغییر داده اند. درعینحال ظهور DarkSide موجب افول REvil نشد و در این یک سال هر دوی آنها فعال ماندند. حمله DarkSide به خط لوله کولونیال و انتشار گسترده REvil با سوءاستفاده از یک آسیبپذیری روز – صفر در Kaseya VSA در ماههای گذشته یکبار دیگر حساسیت نهادهای قانونی به این جرایم سایبری را تشدید کرد؛ بهنحویکه مدتی کوتاه پس از اجرای این حملات، سایتهای پرداخت باج این دو باجافزار غیرفعال شدند.
برخی منابع احتمال میدهند که این اتفاقات در نتیجه مذاکرات اخیر کاخ سفید با مسکو در مورد لزوم توقف حملات باجافزاری مهاجمان روسی به سازمانها و زیرساختهای آمریکا رخداده و فشار دولت روسیه عامل اصلی تعطیلی REvil و DarkSide بوده است. همه اینها در کنار وجود شباهتهایی دیگر سبب شده است که عدهای از کارشناسان امنیتی،BlackMatter را نام جدید REvil و DarkSide بدانند.
به تازگی یک محقق امنیتی یک رمزگذار ELF۶۴ منتسب به گروه باجافزاری BlackMatter کشف کرده است که به طور خاص سرورهای VMware ESXi را هدف حملات خود قرار میدهد. VMware ESXi یکی از محبوبترین بسترهای مجازیسازی است. تقریباً هر گروه معروف باجافزاری که به سازمانها بهصورت هدفمند حمله میکند، ساخت رمزگذارهای قابلاجرا بر روی ESXi را در دستور کار قرار داده است. بهنحویکه در یک سال گذشته تعداد مهاجمانی که نسخه تحت Linux را از باجافزار خود برای هدف قراردادن این بسترعرضه کرده اند روندی صعودی داشته است.
ظهور نسخه Linux باجافزار BlackMatter و در نتیجه توانایی آن در رمزگذاری فایلهای ESXi، دامنه تخریب آن را بهشدت افزایش میدهد. اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوتهایی با توزیعهای متداول Linux دارد اما همان شباهتهای موجود بهویژه قابلیت اجرای فایلهای ELF۶۴، آن را به اینگونه باجافزارها آسیبپذیرتر میکند.
تحقیقات نشان داده است که مهاجمان بهمنظور اجرای عملیات مختلف بر روی سرورهای VMware ESXi یک کتابخانه با نام esxi_utils را ایجاد میکنند.
باجافزار با بهرهگیری از ابزار خط فرمان esxcli، فرمانهای متفاوتی همچون استخراج فهرست ماشینهای مجازی، توقف فایروال، توقف ماشین مجازی و موارد دیگر را اجرا میکند.
پس از اینکه همه ماشینهای مجازی متوقف میشوند، بر اساس پیکربندی موجود در باجافزار، به رمزگذاری فایلهایی با پسوند خاص اقدام میکند.
هدف از متوقف کردن ماشین توسط باجافزار، فراهم شدن امکان رمزگذاری آنها بدون هرگونه ممانعت ESXi است. با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری بهدرستی بسته نشده باشد، ممکن است دادههای آن برای همیشه از بین برود. همچنین با بهکارگیری تابع stop_firewall()، فرمان زیر جهت توقف فایروال اجرا میشود:
تابع stop_vm() هم فرمان زیر را از طریق esxcli اجرا و ماشین مجازی را متوقف میکند:
هدف قراردادن سرورهای ESXi در حملات باجافزاری خطری جدی است زیرا امکان رمزگذاری همزمان سرورهای متعدد را تنها با یک فرمان برای مهاجمان فراهم میکند. بهخصوص آن که بسیاری از سازمانها به این نوع بسترهای مجازی برای سرورهای خودروی آوردهاند.
باجافزارهای معروف دیگری نظیر REvil ، Babuk، RansomExx/Defray، Mespinoza، GoGoogle نیز از رمزگذارهای Linux برای هدف قراردادن ماشینهای مجازی ESXi استفاده میکنند.
منابع:
https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil
دیدگاه شما