حمله به VMware ESXi توسط نسخه لینوکسی باجافزار Qilin
امروزه، کسب و کارهای بیشتری از فناوریهای مجازیسازی برای میزبانی سرور استفاده میکنند. در این میان، VMware ESXi به دلیل کارایی مطلوب در مجازیسازی سرورها محبوب شده است. با این حال، مهاجمان به سرعت با این روند سازگار شده و رمزگذارهای تخصصی را برای به خطر انداختن این سرورهای مجازی توسعه دادهاند. به تازگی محققان امنیتی یک نسخه لینوکسی از باجافزار Qilin را کشف کردهاند که به طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی شده است. این باجافزار یکی از پیشرفته-ترین و قابل تنظیمترین رمزگذارهای لینوکسی مشاهده شده تاکنون است.
در حالیکه بسیاری از عملیاتهای باج افزار از کدهای منبع موجود استفاده میکنند، برخی دیگر از رمزگذارها به طور خاص برای سرورهای لینوکس توسعه یافتهاند. کشف اخیر یک رمزگذار لینوکس ELF64 را برای Qilin آشکار کرده است که قابلیت سازگاری با سرورهای لینوکس، FreeBSD و VMware ESXi را دارد.
باج افزار Qilin که در ابتدا به عنوان باج افزار Agenda در آگوست 2022 شروع به کار نمود، در سپتامبر تغییر نام داده است. این یکی از معدود بدافزارهای نوشته شده در Golang است که احتمالاً میتواند برخی از قابلیتهای ضد تشخیص پیشرفته را به آن اعطا کند. Qilin با اجرای روشهای معمول باجافزار هدفگیری سازمانی، به شبکهها نفوذ میکند، دادهها را استخراج میکند و متعاقباً باجافزار را برای رمزگذاری همه دستگاههای متصل به کار میگیرد.
رمزگذار Qilin دارای پیکربندیهایی است که پسوند فایل، خاتمه فرآیند، گنجاندن یا حذف فایل و رمزگذاری یا حذف پوشه را دیکته میکند. همچنین این بدافزار به شدت بر ماشینهای مجازی که فراتر از رمزگذاری فایل هستند، تأکید دارد. رمزگذار Qilin قابلیت سفارشیسازی گستردهای را به مهاجمان میدهد. این گزینهها از فعال کردن حالتهای اشکالزدایی گرفته تا سفارشی کردن رمزگذاری ماشینهای مجازی و snapshotهای آنها را شامل میشود. علاوه بر این، رمزگذار به مهاجم اجازه میدهد تا لیستی از ماشینهای مجازی را که از رمزگذاری مستثنی هستند، مشخص کنند.
محصولات تحت تاثیر
Qilin کاربران و سازمان هایی را هدف قرار میدهد که هایپروایزر ESXi را اجرا میکنند. این بدافزار فایلها را روی دستگاههای USB متصل با رمزگذاری AES-256 و یک کلید عمومی RSA که به طور تصادفی تولید میشود، رمزگذاری میکند. همچنین در هر پوشه یک فایل HTML ایجاد میکند که دارای فایلهای رمزگذاریشده حاوی دستورالعملهایی درباره پرداخت باج و محل دریافت کلیدهای رمزگشایی است.
اگرچه برخی از محققان امنیتی معتقدند که بدافزار اخیر بیشتر یک گزینه فرصت طلب برای انتشار Qilin از طریق دستگاههای آلوده USB است و سازمان یا صنعت خاصی را برای حمله، مد نظر ندارد، اما برخی دیگر از محققان معتقدند که Qilin سازمانها و شرکتهای با ارزش بالا را انتخاب میکند و عمدتاً بر سازمانهای بخشهای بهداشت و درمان و آموزش در آفریقا و آسیا تمرکز دارد.
توصیههای امنیتی
چند روش برای شناسایی باج افزار Agenda و حفظ امنیت در شبکه عبارتند از:
• آموزش و آموزش کارکنان: مؤثرترین روش آموزش اصول اولیه حفظ امنیت سایبری به کارکنان است.
• فایل پشتیبانی اطلاعات: در صورت امکان به صورت آفلاین از اطلاعات نسخه پشتیبان تهیه شود. این کار از خراب شدن کپیهای داده آفلاین جلوگیری میکند و به بازیابی دادهها بدون تلاش زیاد کمک میکند.
• ابزارهای امنیتی: توصیه میشود از ابزارهای امنیتی استفاده کنید که از امضا، کشف یا الگوریتمهای هوش مصنوعی برای شناسایی و مسدود کردن فایلها یا فعالیتهای مشکوک استفاده میکنند. چنین ابزارهایی میتوانند انواع باج افزارهای شناخته شده را شناسایی و مسدود کنند.
• ترافیک شبکه: نظارت بر ترافیک شبکه برای هرگونه نشانهای از به خطر افتادن، همانند الگوهای ترافیک غیرمعمول یا ارتباط با سرورهای فرمان و کنترل شناخته شده، امکان شناسایی فعالیتهای مشکوک را فراهم میکند.
• ممیزیهای امنیتی: ممیزیها و ارزیابیهای امنیتی منظم برای شناسایی آسیبپذیریهای شبکه و سیستم برای حفظ حفاظت بهروز توصیه میشود.