خطر AvasLocker سرورهای VMware ESXi را تهدید می‌کند
کد مطلب: 18734
تاریخ انتشار : چهارشنبه ۲۲ دی ۱۴۰۰ ساعت ۱۶:۴۷
 
باج‌افزار AvasLocker به دنبال قربانی گرفتن از میان کاربران سرورهای VMware ESXi است.
خطر AvasLocker سرورهای VMware ESXi را تهدید می‌کند
 
 
Share/Save/Bookmark
باج‌افزار AvasLocker به دنبال قربانی گرفتن از میان کاربران سرورهای VMware ESXi است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته محققان امنیتی، به تازگی مهاجمان AvosLocker رمزگذاری سیستم‌های تحت Linux را در ماشین‌های مجازی VMware ESXi آغاز کرده‌اند. محققان حداقل یک قربانی را شناسایی نموده‌اند که با درخواست باج ۱ میلیون دلاری مورد حمله قرار گرفته است.

 در چندماه گذشته، مهاجمان AvosLocker هنگام تبلیغ عملکرد عالی و قابلیت رمزگذاری بالای آخرین گونه‌های باج‌افزاری خود با نام‌های Windows Avos۲ و AvosLinux، به شرکای خود هشدار دادند که از حمله به کشورهای عضو سابق اتحاد جماهیر شوروی (کشورهای مشترک‌المنافع) خودداری کنند.

محققان با بررسی حملات باج‌افزار AvasLocker به این نکته پی بردند که این باج‌افزار، پس از راه‌اندازی در سیستم Linux، تمام ماشین‌های ESXi سرور را با استفاده از فرمان زیر خاتمه می‌دهد.

باج‌افزار پس از رمزگذاری فایل‌های در یک سیستم آسیب‌پذیر، پسوند avoslinux. را آن‌ها اضافه می‌کند. سپس فایل‌هایی موسوم به اطلاعیه‌های باج‌گیری (Ransom Note) را ایجاد کرده و از قربانیان درخواست می‌کند که به‌منظور خراب‌ نشدن فایل‌ها، کامپیوترهای خود را خاموش نکنند و برای جزئیات بیشتر در مورد نحوه پرداخت باج به سایت Tor مربوط به آن‌ها مراجعه کنند.

AvosLocker باج‌افزار جدیدی است که برای اولین‌بار در تابستان ۲۰۲۱ فعالیت خود را آغاز کرد و گردانندگان آن در تالارهای گفتگو از سایر مهاجمان دعوت کردند تا به خدمات موسوم به "باج‌افزار به‌عنوان سرویس" (Ransomware-as-a-Service – به‌اختصار RaaS) آن‌ها که به‌تازگی راه‌اندازی کرده‌اند، بپیوندند. بنا بر اظهارت یکی از محققان، باج‌افزار AvosLocker از نوامبر ۲۰۲۱ شروع به رمزگذاری سیستم‌های تحت Linux کرده است.

این مهاجمان، ماشین‌های مجازی ESXi مستقر در سازمان‌ها را که به‌منظور مدیریت ساده‌تر و استفاده کارآمدتر از منابع به این ماشین‌های مجازی روی آورده‌اند، مورد هدف قرار داده‌اند. از طرفی مهاجمان باج‌افزاری باهدف قراردادن این ماشین‌های مجازی، از رمزگذاری آسان‌تر و سریع‌تر چندین سرور تنها با اجرای یک فرمان بهره می‌گیرند.
در عرض چند ماه پس از کشف رمزگذاری سیستم‌های تحت Linux توسط گردانندگان REvil که ماشین‌های مجازی VMware ESXi را مورد هدف قرار دادند، باج‌افزارهای دیگری از جمله Babuk، RansomExx/Defray، Mespinoza، GoGoogle، DarkSide و Hellokitty نیز اقدام به رمزگذارهای سیستم‌های تحت Linux کرده‌اند.

نسخه Linux باج‌افزار HelloKitty و BlackMatter نیز در ماه‌های ژوئیه و آگوست توسط محققان امنیتی کشف شد. از ماه اکتبر، باج‌افزار Hive نیز رمزگذاری سیستم‌های تحت Linux و FreeBSD را با استفاده از انواع جدیدی از بدافزار خود آغاز کرد.

محققان اظهار داشته‌اند که ازآنجایی‌که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری، بهینه‌تر شدن استفاده از منابع سخت‌افزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آورده‌اند، اکثر گروه‌های باج‌افزاری نسخه مبتنی بر Linux باج‌افزار خود را پیاده‌سازی کرده‌اند تا ماشین‌های ESXi را مورد هدف قرار دهند.
مرجع : مرکز مدیریت راهبردی افتا