حمله باج‌افزاری به زیرساخت VMware ESXi؛ زنگ خطر برای مراکز داده و کسب‌وکارهای ایرانی

بررسی‌های انجام‌شده نشان می‌دهد حداقل یک شرکت ایرانی در روزهای اخیر هدف حمله یک باج‌افزار قرار گرفته که به‌صورت مستقیم زیرساخت VMware ESXi را هدف قرار داده است. در این حمله، مهاجمان پس از دسترسی به هاست ESXi، فایل‌های ماشین‌های مجازی شامل دیسک‌های مجازی (VMDK)، فایل‌های پیکربندی (VMX) و سایر فایل‌های مرتبط را رمزگذاری کرده‌اند و در نتیجه تمامی ماشین‌های مجازی مستقر روی آن هاست از دسترس خارج شده‌اند.

این الگوی حمله طی سال‌های اخیر به یکی از روش‌های رایج گروه‌های باج‌افزاری تبدیل شده است. برخلاف حملات سنتی که سیستم‌عامل مهمان (Guest OS) را هدف قرار می‌دادند، مهاجمان اکنون مستقیماً Hypervisor را هدف قرار می‌دهند. در چنین شرایطی، با آلوده شدن تنها یک هاست ESXi، ده‌ها یا حتی صدها ماشین مجازی به‌طور همزمان تحت تأثیر قرار می‌گیرند.

سازمان‌ها چه اقداماتی انجام دهند؟

بر اساس مستندات امنیتی VMware، توصیه می‌کنیم سازمان‌هایی که از زیرساخت VMware استفاده می‌کنند، اقدامات زیر را در اولویت قرار دهند:

  • به‌روزرسانی مستمر ESXi و vCenter و نصب سریع وصله‌های امنیتی

  • عدم دسترسی مستقیم vCenter و ESXi از اینترنت

  • استفاده از VPN امن و احراز هویت چندمرحله‌ای (MFA) برای دسترسی مدیران

  • غیرفعال کردن سرویس SSH در زمان‌هایی که مورد استفاده نیست

  • محدود کردن دسترسی مدیریتی از طریق Firewall و شبکه‌های مدیریتی مجزا (Management Network)

  • استفاده از اصل Least Privilege برای حساب‌های مدیریتی

  • فعال‌سازی ثبت و نگهداری لاگ‌ها و ارسال آن‌ها به سامانه SIEM

  • استفاده از Secure Boot و TPM در صورت پشتیبانی سخت‌افزار

  • تهیه نسخه‌های پشتیبان آفلاین یا Immutable Backup و انجام تست‌های دوره‌ای بازیابی

راهنمای جامع امنیت VMware:

https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/vsphere-security/security-in-the-vsphere-environment.html

به چه مواردی حساس باشیم؟

توصیه می‌کنیم در صورت مشاهده هر یک از موارد زیر، احتمال وقوع حمله را جدی بگیرید:

  • فعال شدن غیرمنتظره سرویس SSH

  • ایجاد حساب‌های مدیریتی ناشناس

  • اجرای دستورات غیرمعمول در ESXi Shell

  • خاموش شدن همزمان تعداد زیادی ماشین مجازی

  • حذف یا تغییر Snapshotها

  • افزایش غیرعادی عملیات روی Datastore

  • ایجاد فایل‌های باج‌خواهی (Ransom Note)

  • تغییر نام یا رمزگذاری فایل‌های VMDK، VMX و سایر فایل‌های ماشین‌های مجازی

در صورت آلودگی چه باید کرد؟

توصیه می‌کنیم در صورت مشاهده علائم آلودگی:

  1. ارتباط هاست ESXi با شبکه را فوراً قطع کنید.

  2. از راه‌اندازی مجدد یا خاموش کردن شتاب‌زده هاست خودداری کنید تا امکان بررسی‌های جرم‌شناسی (Forensics) حفظ شود.

  3. لاگ‌های ESXi، vCenter و تجهیزات امنیتی را جمع‌آوری و نگهداری کنید.

  4. فایل یادداشت باج، پسوند فایل‌های رمزگذاری‌شده و سایر شواهد را حذف نکنید.

  5. قبل از هرگونه بازیابی، از سالم بودن نسخه‌های پشتیبان اطمینان حاصل کنید.

  6. ابتدا مسیر نفوذ مهاجم را شناسایی و مسدود کنید و سپس عملیات بازیابی را آغاز نمایید.

جمع‌بندی

افزایش حملات باج‌افزاری علیه VMware ESXi نشان می‌دهد که Hypervisorها به یکی از اهداف اصلی مهاجمان تبدیل شده‌اند. از آنجا که موفقیت در نفوذ به یک هاست می‌تواند منجر به از دسترس خارج شدن تعداد زیادی سرویس حیاتی شود، پیاده‌سازی توصیه‌های امنیتی VMware، مدیریت صحیح دسترسی‌های مدیریتی، به‌روزرسانی مستمر و داشتن نسخه‌های پشتیبان غیرقابل تغییر (Immutable Backup)، مهم‌ترین راهکارهای کاهش ریسک این دسته از حملات محسوب می‌شوند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات