رمزگذاری سرور VMware ESXi با باج‌افزار پایتون

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir attackers encrypt vmware esxi server python ransomware 1
مجموعه Sophos گزارش داده است که به تازگی حمله‌ای مشاهده شده که در آن از یک باج‌افزار مبتنی بر پایتون برای هدف قرار دادن سرور VMware ESXi سازمان‌ها و رمزگذاری تمام ویرچوال دیسک‌ها استفاده می‌کند.

این حمله شامل استفاده از یک اسکریپت پایتون سفارشی‌سازی شده می‌باشد که پس از اجرا بر روی hypervisor ماشین مجازی سازمان مورد نظر، همه VM‌ها را آفلاین می‌کند.
takian.ir attackers encrypt vmware esxi server python ransomware 2
محققان امنیتی Sophos توضیح داده‌اند که مهاجمان برای اجرای باج‌افزار بسیار سریع عمل کرده‌اند: "فرایند رمزگذاری تقریباً سه ساعت پس از نفوذ و به خطر انداختن اولیه آغاز شده است".

به نقل از سکیوریتی ویک، برای دسترسی اولیه، مهاجمان یک حساب TeamViewer را که احراز هویت چند عاملی را راه‌اندازی نکرده و در پس زمینه رایانه متعلق به کاربری که دارای اعتبارنامه ادمین دامین بوده را اجرا کرده‌اند.

سوفوس توضیح می‌دهد که مهاجمان ۳۰ دقیقه نیمه شب در منطقه زمانی سازمان منتظر می‌مانند تا وارد سیستم شوند و سپس ابزاری را برای شناسایی اهداف در شبکه بارگیری و اجرا کردند که به آن‌ها اجازه می‌دهد سرور VMware ESXi را پیدا کنند.

حوالی ساعت ۲ بامداد، مهاجمان یک سرویس گیرنده SSH را برای ورود به سرور بدست آورده ند و از سرویس SSH داخلی ESXi Shell استفاده کردند که این سرویس می‌تواند در سرور‌های ESXi برای اهداف مدیریتی فعال شود.

سه ساعت پس از اولین اسکن شبکه، مهاجمان وارد ESXi Shell شدند و اسکریپت پایتون را کپی کردند؛ سپس آن را برای هر دیسک ذخیره داده اجرا کرده و در پی آن دیسک مجازی و فایل‌های تنظیمات ماشین‌های مجازی رمزگذاری شدند.

اندازه این اسکریپت فقط ۶ کیلوبایت است، اما به مهاجمان اجازه می‌دهد تا آن را با کلید‌های رمزگذاری متعدد و همچنین آدرس های‌ایمیل مختلف و پسوند فایل به فایل‌های رمزگذاری شده پیکربندی کنند.

به گفته Sophos، این اسکریپت شامل چندین کلید رمزگذاری سخت و یک روال معمول برای تولید رمز‌های بیشتر است، که محققان را به این نتیجه رساند که باج‌افزار در هر بار اجرا یک کلید منحصر به فرد ایجاد می‌نماید.

از اینرو در این حمله خاص، به دلیل اینکه مهاجمان اسکریپت را به طور جداگانه برای هر یک از سه پایگاه داده هدف ESXi اجرا کرده‌اند، یک کلید جدید برای هر فرآیند رمزگذاری ایجاد شده است. اسکریپت کلید‌ها را منتقل نمی‌کند، بلکه آن‌ها را به سیستم فایل می‌نویسد و با کلید عمومی کد شده رمزگذاری می‌کند.

اندرو برانت، محقق اصلی Sophos می‌گوید: ″پایتون از قبل روی سیستم‌های مبتنی بر لینوکس مانند ESXi نصب شده است و این مسأله باعث می‌شود که حملات مبتنی بر پایتون به چنین سیستم‌هایی امکان‌پذیر باشد. سرور‌های ESXi یک هدف جذاب برای عاملان تهدیدکننده باج‌افزار هستند زیرا آن‌ها می‌توانند همزمان به چندین ماشین مجازی که هر یک از آن‌ها می‌توانند برنامه‌ها یا سرویس‌های مهم تجاری را اجرا کنند، حمله کنند″.

برچسب ها: ESXi Shell, اسکریپت, hypervisor, VMware ESXi, باج‌افزار, Sophos, SSH, پایتون, Python, Linux, لینوکس, cybersecurity, TeamViewer, ransomware , رمزگذاری, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ