باج‌افزار AvasLocker به دنبال سرورهای VMware ESXi

به گفته محققان امنیتی، یه تازگی مهاجمان AvosLocker رمزگذاری سیستم‌های تحت Linux را در ماشین‌های مجازی VMware ESXi آغاز کرده اند. محققان حداقل یک قربانی را شناسایی کرده اند که با درخواست باج ۱ میلیون دلاری مورد حمله قرار گرفته است.

به گزارش مرکز مدیریت راهبردی افتا، مهاجمان AvosLocker در چند ماه گذشته، هنگام تبلیغ عملکرد عالی و قابلیت رمزگذاری بالای آخرین گونه‌های باج‌افزاری خود با نام‌های Windows Avos۲ و AvosLinux، به شرکای خود هشدار دادند که از حمله به کشورهای عضو سابق اتحاد جماهیر شوروی (کشورهای مشترک‌المنافع) خودداری کنند.
محققان با بررسی حملات باج‌افزار AvasLocker به این نکته پی بردند که این باج‌افزار، پس از راه‌اندازی در سیستم Linux، تمام ماشین‌های ESXi سرور را با استفاده از فرمان زیر خاتمه می‌دهد.

باج‌افزار پس از رمزگذاری فایل‌ها در یک سیستم آسیب‌پذیر، پسوند avoslinux. را به آن‌ها اضافه می‌کند. سپس فایل‌هایی موسوم به اطلاعیه‌های باج‌گیری (Ransom Note) را ایجاد  و از قربانیان درخواست می‌کند که به‌منظور خراب‌ نشدن فایل‌ها، کامپیوترهای خود را خاموش نکنند و برای جزئیات بیشتر در مورد نحوه پرداخت باج به سایت Tor مربوط به آن‌ها مراجعه کنند.
AvosLocker باج‌افزار جدیدی است که برای اولین‌بار در تابستان ۲۰۲۱ فعالیت خود را آغاز کرد و گردانندگان آن در تالارهای گفتگو از سایر مهاجمان دعوت کردند تا به خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS)بپیوندند که آن‌ها به‌تازگی راه‌اندازی کرده‌اند.
 بنا بر اظهارت یکی از محققان، باج‌افزار AvosLocker از نوامبر ۲۰۲۱ شروع به رمزگذاری سیستم‌های تحت Linux کرده است. 


این مهاجمان، ماشین‌های مجازی ESXi مستقر در سازمان‌ها را هدف قرار داده‌اند که برای مدیریت ساده‌تر و استفاده کارآمدتر از منابع به این ماشین‌های مجازی روی آورده‌اند، . از طرفی مهاجمان باج‌افزاری باهدف قراردادن این ماشین‌های مجازی، از رمزگذاری آسان‌تر و سریع‌تر چندین سرور تنها با اجرای یک فرمان بهره می‌گیرند.
در عرض چند ماه پس از کشف رمزگذاری سیستم‌های تحت Linux توسط گردانندگان REvil که ماشین‌های مجازی VMware ESXi را هدف قرار دادند، باج‌افزارهای دیگری از جمله Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز اقدام به رمزگذارهای سیستم‌های تحت Linux کرده‌اند.
نسخه Linux باج‌افزار HelloKitty و BlackMatter نیز در ماه‌های ژوئیه و آگوست توسط محققان امنیتی کشف شد. از ماه اکتبر، باج‌افزار Hive نیز رمزگذاری سیستم‌های تحت Linux و FreeBSD را با استفاده از انواع جدیدی از بدافزار خود آغاز کرد.
محققان اظهار داشته‌اند که ازآنجایی‌که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری، بهینه‌تر شدن استفاده از منابع سخت‌افزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آورده‌اند، اکثر گروه‌های باج‌افزاری نسخه مبتنی بر Linux باج‌افزار خود را پیاده‌سازی کرده‌اند تا ماشین‌های ESXi را مورد هدف قرار دهند.

منبع:

https://www.bleepingcomputer.com/news/security/linux-version-of-avoslocker-ransomware-targets-vmware-esxi-servers/

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1948/Staging/%D8%A8%D8%A7%D8%AC%E2%80%8C%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-AvasLocker-%D8%A8%D9%87-%D8%AF%D9%86%D8%A8%D8%A7%D9%84-%D8%B3%D8%B1%D9%88%D8%B1%D9%87%D8%A7%DB%8C-VMware-ESXi


(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.