گردانندگان HelloKitty از طریق نسخه تحت Linux این باجافزار در حال هدف قرار دادن سرورهای Vmware ESXi هستند.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، این گونه جدید از باجافزار HelloKitty مورد بررسی قرار گرفته است.
در اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سیدی پروجکت (CD Projekt SA)، بهعنوان یکی از مطرحترین تولیدکنندگان بازیهای ویدئویی توجه رسانهها را به این باجافزار جلب کرد.
ظهور نسخه Linux این باجافزار و در نتیجه توانایی آن در رمزگذاری فایلهای ESXi، دامنه تخریب HelloKitty را بهشدت افزایش میدهد. بهخصوص آنکه سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینهتر شدن استفاده از منابع سختافزاری بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
Vmware ESXi یکی از پرطرفدارترین بسترهای مجازیسازی است. طی یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باجافزار خود بهمنظور هدف قرار دادن این بستر کردهاند روندی صعودی داشته است.
اگر چه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوتهایی با توزیعهای متداول Linux دارد اما همان شباهتهای موجود به ویژه قابلیت اجرای فایلهای ELF64، آن را به اینگونه باجافزارها آسیبپذیرتر میکند.
بررسی محققان نشان میدهد نسخه Linux باجافزار HelloKitty حداقل از دو ماه قبل، از esxcli جهت متوقف کردن ماشینهای مجازی استفاده میکرده است.
esxcli یک ابزار مدیریتی خط-فرمان است که از طریق آن میتوان فهرست ماشینهای مجازی در حال اجرا را استخراج نموده و در ادامه آنها را متوقف کرد. هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آنها بدون هر گونه ممانعت ESXi است. با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری به درستی بسته نشده باشد ممکن است دادههای آن برای همیشه از بین برود.
باج افزار ابتدا تلاش میکند با سوییچ soft ماشین مجازی را بهصورت عادی خاموش کند.
esxcli vm process kill -t=soft -w=%d
در صورتی که ماشین همچنان در حال اجرا باقی بماند از سوییچ hard برای خاموش کردن فوری آن بهره گرفته میشود.
esxcli vm process kill -t=hard -w=%d
اگر هیچ کدام از فرامین بالا مؤثر نبود از سوییچ force برای متوقفسازی ماشین استفاده میشود.
esxcli vm process kill -t=force -w=%d
پس از از کار افتادن ماشین مجازی، باجافزار رمزگذاری فایلهای vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فرادادهها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز میکند.
بهطور خلاصه میتوان گفت که با این تکنیک امکان رمزگذاری تمامی ماشینهای مجازی ESXi تنها با اجرای چند فرمان فراهم میشود.
اوایل این ماه نیز برخی منابع خبر دادند گردانندگان باجافزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی VMware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
باجافزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قرار دادن ماشینهای مجازیESXi استفاده میکنند.
به نظر میرسد اصلیترین دلیل مهاجمان در ساخت نگارش تحت Linux باجافزار خود، هدف قرار دادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.
HelloKitty حداقل از نوامبر 2020 فعال بوده است. در مقایسه با باجافزارهای مطرحی که سازمانها را بهصورت هدفمند مورد حمله قرار میدهند، HelloKitty را نمیتوان چندان فعال دانست. حمله باجافزاری به سیدی پروجکت بزرگترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازیهای ساخت این شرکت را نیز به سرقت بردهاند. این مهاجمان پس از مدتی اعلام کردند که فایلهای سرقت شده را به فروش رساندهاند.
لازم به ذکر است اخیراً نیز برخی منابع از حمله باجافزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیبپذیریهای سریهای 100 محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند. به گفته این منابع، ثابتافزار (Firmware) تجهیزات مورد حمله همگی از رده خارج (EOL) و آسیبپذیر بودهاند. هشدار امنیتی شرکت سونیک وال (SonicWall) در خصوص این حملات در لینک زیر قابل مطالعه است:
برخی گونههای این باجافزار با نامهای دیگری نظیر DeathRansom و Fivehands نیز شناخته میشوند.
منابع: