امنیت

August 2, 2024
12:18 جمعه، 12ام مردادماه 1403
کد خبر: 171021

تهدید سیستم‌های لینوکسی VMware ESXi توسط باج‌افزار play

منبع: ماهر

پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود را کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروایزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.

باج‌افزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باج‌افزار برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

محصولات تحت تأثیر

محیط‌های VMware ESXi

توصیه‌های امنیتی

برای اطمینان از امنیت محیط‌های ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست حایز اهمیت است.
نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی
محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی
آگاهی‌رسانی به کارکنان درباره‌ی فیشینگ و نحوه‌ی تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد.
به دلیل هدف قرار دادن محیط‌های VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.