حمله به VMware ESXi توسط نسخه لینوکسی باج‌افزار Qilin

امروزه، کسب و کارهای بیشتری از فناوری‌‌‌‌‌‌های مجازی‌‌‌‌‌‌سازی برای میزبانی سرور استفاده می‌‌‌‌‌‌کنند. در این میان، VMware ESXi به دلیل کارایی مطلوب در مجازی‌‌‌‌‌‌سازی سرورها محبوب شده است. با این حال، مهاجمان به سرعت با این روند سازگار شده و رمزگذارهای تخصصی را برای به خطر انداختن این سرورهای مجازی توسعه داده‌اند. به تازگی محققان امنیتی یک نسخه لینوکسی از باج‌افزار Qilin را کشف کرده‌اند که به طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی شده است. این باج‌‌‌‌‌‌افزار یکی از پیشرفته-ترین و قابل تنظیم‌ترین رمزگذارهای لینوکسی مشاهده شده تاکنون است.
در حالی‌‌‌‌‌‌که بسیاری از عملیات‌‌‌‌‌‌های باج افزار از کدهای منبع موجود استفاده می‌‌‌‌‌‌کنند، برخی دیگر از رمزگذارها به طور خاص برای سرورهای لینوکس توسعه یافته‌‌‌‌‌‌اند. کشف اخیر یک رمزگذار لینوکس ELF64 را برای Qilin آشکار کرده است که قابلیت سازگاری با سرورهای لینوکس، FreeBSD و VMware ESXi را دارد.
باج افزار Qilin که در ابتدا به عنوان باج افزار Agenda در آگوست 2022 شروع به کار نمود، در سپتامبر تغییر نام داده است. این یکی از معدود بدافزارهای نوشته شده در Golang است که احتمالاً می‌‌‌‌‌‌تواند برخی از قابلیت‌های ضد تشخیص پیشرفته را به آن اعطا کند. Qilin با اجرای روش‌‌‌‌‌‌های معمول باج‌افزار هدف‌گیری سازمانی، به شبکه‌ها نفوذ می‌کند، داده‌ها را استخراج می‌کند و متعاقباً باج‌افزار را برای رمزگذاری همه دستگاه‌های متصل به کار می‌گیرد.
رمزگذار Qilin دارای پیکربندی‌هایی است که پسوند فایل، خاتمه فرآیند، گنجاندن یا حذف فایل و رمزگذاری یا حذف پوشه را دیکته می‌کند. همچنین این بدافزار به شدت بر ماشین‌های مجازی که فراتر از رمزگذاری فایل هستند، تأکید دارد. رمزگذار Qilin قابلیت سفارشی‌‌‌‌‌‌سازی گسترده‌ای را به مهاجمان می‌‌‌‌‌‌دهد. این گزینه‌ها از فعال کردن حالت‌های اشکال‌‌‌‌‌‌زدایی گرفته تا سفارشی کردن رمزگذاری ماشین‌های مجازی و snapshotهای آنها را شامل می‌شود. علاوه بر این، رمزگذار به مهاجم اجازه می‌‌‌‌‌‌دهد تا لیستی از ماشین‌‌‌‌‌‌های مجازی را که از رمزگذاری مستثنی هستند، مشخص کنند.

محصولات تحت تاثیر
Qilin کاربران و سازمان هایی را هدف قرار می‌دهد که هایپروایزر ESXi را اجرا می‌‌‌‌‌‌کنند. این بدافزار فایل‌ها را روی دستگاه‌های USB متصل با رمزگذاری AES-256 و یک کلید عمومی RSA که به‌ طور تصادفی تولید می‌شود، رمزگذاری می‌کند. همچنین در هر پوشه یک فایل HTML ایجاد می‌کند که دارای فایل‌های رمزگذاری‌شده حاوی دستورالعمل‌هایی درباره پرداخت باج و محل دریافت کلیدهای رمزگشایی است.
اگرچه برخی از محققان امنیتی معتقدند که بدافزار اخیر بیشتر یک گزینه فرصت طلب برای انتشار Qilin از طریق دستگاه‌‌‌‌‌‌های آلوده USB است و سازمان یا صنعت خاصی را برای حمله، مد نظر ندارد، اما برخی دیگر از محققان معتقدند که Qilin سازمان‌‌‌‌‌‌ها و شرکت‌‌‌‌‌‌های با ارزش بالا را انتخاب می‌‌‌‌‌‌کند و عمدتاً بر سازمان‌های بخش‌های بهداشت و درمان و آموزش در آفریقا و آسیا تمرکز دارد.

توصیه‌های امنیتی
چند روش برای شناسایی باج افزار Agenda و حفظ امنیت در شبکه عبارتند از:
•    آموزش و آموزش کارکنان: مؤثرترین روش آموزش اصول اولیه حفظ امنیت سایبری به کارکنان است.
•    فایل پشتیبانی اطلاعات: در صورت امکان به صورت آفلاین از اطلاعات نسخه پشتیبان تهیه شود. این کار از خراب شدن کپی‌‌‌‌‌‌های داده آفلاین جلوگیری می‌‌‌‌‌‌کند و به بازیابی داده‌‌‌‌‌‌ها بدون تلاش زیاد کمک می‌‌‌‌‌‌کند.
•    ابزارهای امنیتی: توصیه می‌شود از ابزارهای امنیتی استفاده کنید که از امضا، کشف یا الگوریتم‌های هوش مصنوعی برای شناسایی و مسدود کردن فایل‌ها یا فعالیت‌های مشکوک استفاده می‌کنند. چنین ابزارهایی می‌‌‌‌‌‌توانند انواع باج افزارهای شناخته شده را شناسایی و مسدود کنند.
•    ترافیک شبکه: نظارت بر ترافیک شبکه برای هرگونه نشانه‌ای از به خطر افتادن، همانند الگوهای ترافیک غیرمعمول یا ارتباط با سرورهای فرمان و کنترل شناخته شده، امکان شناسایی فعالیت‌های مشکوک را فراهم می‌کند.
•    ممیزی‌‌‌‌‌‌های امنیتی: ممیزی‌ها و ارزیابی‌های امنیتی منظم برای شناسایی آسیب‌پذیری‌های شبکه و سیستم برای حفظ حفاظت به‌روز توصیه می‌شود.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-…
[2] https://linuxsecurity.com/news/cryptography/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi
[3] https://gridinsoft.com/blogs/qilin-ransomware-vmware-esxi/#:~:text=In%20a%20disturbing%20developmen….