باج‌افزار HelloKitty در پی سرورهای ESXi

گردانندگان HelloKitty از طریق نسخه تحت Linux این باج‌افزار در حال هدف قرار دادن سرورهای Vmware ESXi هستند.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، این گونه جدید از باج‌افزار HelloKitty مورد بررسی قرار گرفته است.

در اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سی‌دی پروجکت (CD Projekt SA)، به‌عنوان یکی از مطرح‌ترین تولیدکنندگان بازی‌های ویدئویی توجه رسانه‌ها را به این باج‌افزار جلب کرد.

ظهور نسخه Linux این باج‌افزار و در نتیجه توانایی آن در رمزگذاری فایل‌های ESXi، دامنه تخریب HelloKitty را به‌شدت افزایش می‌دهد. به‌خصوص آن‌که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.

Vmware ESXi یکی از پرطرفدارترین بسترهای مجازی‌سازی است. طی یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باج‌افزار خود به‌منظور هدف قرار دادن این بستر کرده‌اند روندی صعودی داشته است.

اگر چه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوت‌هایی با توزیع‌های متداول Linux دارد اما همان شباهت‌های موجود به ویژه قابلیت اجرای فایل‌های ELF64، آن را به این‌گونه باج‌افزارها آسیب‌پذیرتر می‌کند.

بررسی محققان نشان می‌دهد نسخه Linux باج‌افزار HelloKitty حداقل از دو ماه قبل، از esxcli جهت متوقف کردن ماشین‌های مجازی استفاده می‌کرده است.

esxcli یک ابزار مدیریتی خط-فرمان است که از طریق آن می‌توان فهرست ماشین‌های مجازی در حال اجرا را استخراج نموده و در ادامه آن‌ها را متوقف کرد. هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آن‌ها بدون هر گونه ممانعت ESXi است. با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری به درستی بسته نشده باشد ممکن است داده‌های آن برای همیشه از بین برود.

باج افزار ابتدا تلاش می‌کند با سوییچ soft ماشین مجازی را به‌صورت عادی خاموش کند.

 

esxcli vm process kill -t=soft -w=%d

در صورتی که ماشین همچنان در حال اجرا باقی بماند از سوییچ hard برای خاموش کردن فوری آن بهره گرفته می‌شود.

esxcli vm process kill -t=hard -w=%d

اگر هیچ کدام از فرامین بالا مؤثر نبود از سوییچ force برای متوقف‌سازی ماشین استفاده می‌شود.

esxcli vm process kill -t=force -w=%d

پس از از کار افتادن ماشین مجازی، باج‌افزار رمزگذاری فایل‌های vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فراداده‌ها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز می‌کند.

به‌طور خلاصه می‌توان گفت که با این تکنیک امکان رمزگذاری تمامی ماشین‌های مجازی ESXi تنها با اجرای چند فرمان فراهم می‌شود.

اوایل این ماه نیز برخی منابع خبر دادند گردانندگان باج‌افزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آن‌ها هستند.

باج‌افزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قرار دادن ماشین‌های مجازیESXi  استفاده می‌کنند.

به نظر می‌رسد اصلی‌ترین دلیل مهاجمان در ساخت نگارش تحت Linux باج‌افزار خود، هدف قرار دادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.

HelloKitty حداقل از نوامبر 2020 فعال بوده است. در مقایسه با باج‌افزارهای مطرحی که سازمان‌ها را به‌صورت هدفمند مورد حمله قرار می‌دهند، HelloKitty را نمی‌توان چندان فعال دانست. حمله باج‌افزاری به سی‌دی پروجکت بزرگترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازی‌های ساخت این شرکت را نیز به سرقت برده‌اند. این مهاجمان پس از مدتی اعلام کردند که فایل‌های سرقت شده را به فروش رسانده‌اند.

لازم به ذکر است اخیراً نیز برخی منابع از حمله باج‌افزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیب‌پذیری‌های سری‌های 100 محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند. به گفته این منابع، ثابت‌افزار (Firmware) تجهیزات مورد حمله همگی از رده خارج (EOL) و آسیب‌پذیر بوده‌اند. هشدار امنیتی شرکت سونیک وال (SonicWall) در خصوص این حملات در لینک زیر قابل مطالعه است:

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

برخی گونه‌های این باج‌افزار با نام‌های دیگری نظیر DeathRansom و Fivehands نیز شناخته می‌شوند.

 

منابع:

 

https://www.bleepingcomputer.com/news/security/linux-version-of-hellokitty-ransomware-targets-vmware-esxi-servers/

https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-is-targeting-vulnerable-sonicwall-devices/

https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/ransomware-risk-unpatched-eol-sonicwall-sra-and-sma-8x-products

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *