ما در سالهای اخیر شاهد افزایش مداوم حملات باج افزارها بودهایم. محیطهای مجازی سازی به ویژه زیرساختهای VMware ESXi نیز دستخوش چنین حملاتی قرار گرفتهاند. پلتفرمهای مجازی سازی، کامپوننت اصلی زیرساختهای فناوری اطلاعات سازمانی به شمار میآیند اما اغلب از پیکربندیهای نادرست و آسیب پذیریهای ذاتی رنج میبرند. از این رو، آنها به یک هدف سودآور و بسیار مؤثر برای مهاجمان سایبری تبدیل شدهاند.
تحقیقات و بررسیهای تیم Sygnia نشان میدهد که این بُردار حمله، اغلب توسط ابزارها و گروههای باج افزاری مانند LockBit، HelloKitty، BlackMatter، RedAlert (N13V)، Scattered Spider، Akira، Cactus، BlackCat و Cheerscrypt استفاده میشود.
باج افزارها در حمله به محیطهای مجازی سازی معمولاً از یک الگوی مشابه استفاده میکنند. این اقدامات شامل مراحل زیر است:
- دسترسی اولیه: هکرها با استفاده از تکنیکهایی همچون حملات فیشینگ، فایلهای مخرب و بهرهبرداری از آسیب پذیریهای شناخته شده در منابع متصل به اینترنت، دسترسی اولیه خود به سازمان را ایجاد میکنند.
- حرکت جانبی و افزایش سطح دسترسی: مهاجمان پس از ایجاد دسترسی اولیه، سطح دسترسی خود را با استفاده از حملات بروت فورس[1]، ربودن [2]RDP، استفاده از اکسپلویتهایی مانند ESXiArgs یا روشهای دیگر، جهت به دست آوردن گواهیهای اعتبار میزبانهای ESXiیا vCenter افزایش میدهند.
- اعتبار سنجی دسترسی: مهاجمان پس از اطمینان از امنیت دسترسی اولیه به زیرساخت مجازی سازی، بر روی برقراری ارتباط با آن و استقرار باج افزار متمرکز خواهند شد. چنانچه امکان دسترسی مستقیم به سرور نباشد، مهاجمان از vCenter برای فعال سازی SSH در تمام سرورهای ESXi استفاده میکنند. هکرها ممکن است رمزهای عبور سرور را تغییر دهند و یا دستورات را با استفاده از بستههای نصب vSphere سفارشی (VIB) از راه دور اجرا کنند.
- استقرار باج افزار: مهاجمان از دسترسی خود برای اتصال به ESXi استفاده کرده و باج افزار را بر روی میزبانهای ESXi مستقر و نصب میکنند.
- حذف یا رمزگذاری سیستمهای بک آپ: هکرها ممکن است با حذف یا رمزگذاری سرور پشتیبان گیری (بک آپ) و یا در برخی موارد، تغییر رمزهای عبور، مانع از بازیابی محیط مجازی سازی شوند و در نتیجه فشار بیشتری را بر قربانیان اعمال کنند.
- استخراج داده: مهاجمان اغلب سایبری سعی دارند با استخراج و انتقال داده به سرورهای خارجی مانند io، Dropbox و یا سرورهای اختصاصی خود، طرح اخاذی مضاعف را پیاده سازی کنند. این امر مهاجمان را قادر میسازد نه تنها فایلهای موجود را رمزگذاری کنند، بلکه دادههای استخراج شده را به صورت عمومی منتشر نمایند تا صدمات و خسارات بیشتری را به قربانی وارد کنند.
- اجرای باج افزار: مهاجمان در این مرحله تمام ماشینهای مجازی را خاموش کرده و باج افزار مورد نظر را به منظور رمزگذاری فولدر ” /vmfs/volumes “ فایل سیستم ESXi، اجرا میکنند.
- استقرار و انتشار باج افزارهای بیشتر: هکرهایی که از قبل به مکانیزمهای استقرار مانند SCCM یا اکتیو دایرکتوری دست یافتهاند، ممکن است باج افزارهای بیشتری را بر روی سرور و ایستگاههای کاری غیرمَجازی توزیع کنند و تأثیر حمله را فراتر از حوزه مجازی سازی تقویت نمایند.
شرکت امنیت سایبری Rapid7 نسبت به چنین حملاتی از اوایل مارس 2024 هشدار داد. مهاجمان با سوء استفاده از تبلیغات مخرب در موتورهای جستجو سعی داشتند تا نصب کنندههای تروجانیزه شده برای WinSCP و PuTTY را از طریق دامنههای جعلی به قربانیان تحویل داده و در نهایت باج افزار را مستقر کنند.
این نصب کنندههای جعلی به عنوان مجرایی برای نصب toolkit پس از بهره برداری Sliver عمل میکنند و سپس پیلودهای بیشتری مانند Beaconهای Cobalt Strike را به منظور استقرار باج افزار مستقر خواهند کرد.
محیطهای مجازی سازی در عصر دیجیتال مدرن، برای زیرساختهای فناوری اطلاعات سازمانی حیاتی هستند، اما تهدیدات باج افزاری از این محیطها و منابع غافل نخواهند بود. غالبا به منظور کاهش خطرات ناشی از چنین تهدیداتی، به سازمانها توصیه میشود که از سیستم نظارت (مانیتورینگ) و کنترل، ثبت لاگ، دریافت به موقع وصلههای امنیتی، مکانیزمهای پشتیبان گیری (بک آپ) و احراز هویت قوی استفاده کنند. توجه به Hardening یا مستحکم سازی زیرساخت و سرورها و پیاده سازی محدودیتهای سختگیرانه شبکه و تفکیک سیستمهای حیاتی برای جلوگیری از حرکت جانبی نیز بسیار حائز اهمیت میباشد.
کسبوکارها میتوانند علیرغم چشم انداز در حال تحول تهدیدات سایبری، با اتخاذ استراتژیهای آگاهانه و بهترین شیوهها، دفاع خود را در برابر باج افزار و سایر تهدیدات سایبری تقویت کنند و از یکپارچگی و انعطافپذیری زیرساختهای دیجیتال اطمینان حاصل نمایند.
[1] brute-force
[2] Remote Desktop Protocol
