به گفته محققان امنیتی، یه تازگی مهاجمان AvosLocker رمزگذاری سیستمهای تحت Linux را در ماشینهای مجازی VMware ESXi آغاز کرده اند. محققان حداقل یک قربانی را شناسایی کرده اند که با درخواست باج ۱ میلیون دلاری مورد حمله قرار گرفته است.
به گزارش مرکز مدیریت راهبردی افتا، مهاجمان AvosLocker در چند ماه گذشته، هنگام تبلیغ عملکرد عالی و قابلیت رمزگذاری بالای آخرین گونههای باجافزاری خود با نامهای Windows Avos۲ و AvosLinux، به شرکای خود هشدار دادند که از حمله به کشورهای عضو سابق اتحاد جماهیر شوروی (کشورهای مشترکالمنافع) خودداری کنند.
محققان با بررسی حملات باجافزار AvasLocker به این نکته پی بردند که این باجافزار، پس از راهاندازی در سیستم Linux، تمام ماشینهای ESXi سرور را با استفاده از فرمان زیر خاتمه میدهد.
باجافزار پس از رمزگذاری فایلها در یک سیستم آسیبپذیر، پسوند avoslinux. را به آنها اضافه میکند. سپس فایلهایی موسوم به اطلاعیههای باجگیری (Ransom Note) را ایجاد و از قربانیان درخواست میکند که بهمنظور خراب نشدن فایلها، کامپیوترهای خود را خاموش نکنند و برای جزئیات بیشتر در مورد نحوه پرداخت باج به سایت Tor مربوط به آنها مراجعه کنند.
AvosLocker باجافزار جدیدی است که برای اولینبار در تابستان ۲۰۲۱ فعالیت خود را آغاز کرد و گردانندگان آن در تالارهای گفتگو از سایر مهاجمان دعوت کردند تا به خدمات موسوم به “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – بهاختصار RaaS)بپیوندند که آنها بهتازگی راهاندازی کردهاند.
بنا بر اظهارت یکی از محققان، باجافزار AvosLocker از نوامبر ۲۰۲۱ شروع به رمزگذاری سیستمهای تحت Linux کرده است.
این مهاجمان، ماشینهای مجازی ESXi مستقر در سازمانها را هدف قرار دادهاند که برای مدیریت سادهتر و استفاده کارآمدتر از منابع به این ماشینهای مجازی روی آوردهاند، . از طرفی مهاجمان باجافزاری باهدف قراردادن این ماشینهای مجازی، از رمزگذاری آسانتر و سریعتر چندین سرور تنها با اجرای یک فرمان بهره میگیرند.
در عرض چند ماه پس از کشف رمزگذاری سیستمهای تحت Linux توسط گردانندگان REvil که ماشینهای مجازی VMware ESXi را هدف قرار دادند، باجافزارهای دیگری از جمله Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز اقدام به رمزگذارهای سیستمهای تحت Linux کردهاند.
نسخه Linux باجافزار HelloKitty و BlackMatter نیز در ماههای ژوئیه و آگوست توسط محققان امنیتی کشف شد. از ماه اکتبر، باجافزار Hive نیز رمزگذاری سیستمهای تحت Linux و FreeBSD را با استفاده از انواع جدیدی از بدافزار خود آغاز کرد.
محققان اظهار داشتهاند که ازآنجاییکه سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری، بهینهتر شدن استفاده از منابع سختافزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آوردهاند، اکثر گروههای باجافزاری نسخه مبتنی بر Linux باجافزار خود را پیادهسازی کردهاند تا ماشینهای ESXi را مورد هدف قرار دهند.
منبع:
(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما