مرکز آپا دانشگاه کردستان

مورد هدف قرار گرفتن ماشین‌های مجازی ESXi توسط باج‌افزار جدید REvil

اخیراً باج‌افزار REvil فعالیت‌های خود را با مورد هدف قرار دادن ماشین‌های مجازی ESXi با استفاده از رمزنگار لینوکسی شروع کرده است. در چند سال اخیر استفاده از ماشین‌های مجازی به دلیل پشتیبان‌گیری آسان‌تر، مدیریت آسان‌تر سیستم‌ها و استفاده کارآمد از منابع بسیار مورد استفاده بوده‌اند و کمپین‌های باج‌افزاری نیز توجه خود را برای ایجاد ابزارهایی به منظور رمزنگاری ماشین‌های مجازی معطوف کرده‌اند. در ماه می امسال، محقق امنیتی Yelisey Boguslavskiy درخصوص فعالیت‌های REvil و نسخه لینوکسی آن که میتواند بر روی دستگاه‌های NAS نیز تاثیرگذار باشد، هشدار داده بود. در چند روز اخیر محققین امنیتی MalwareHunterTeam نسخه جدید لینوکسی باج‌افزار REvil که هدف آن سرورهای ESXi است را کشف کرده‌اند. همچنین محقق امنیتی Intel، آقای Vitali Kremez نیز که نسخه جدید لینوکسی این باج‌افزار را تحلیل کرده است گفته است که این باج‌افزار قابل‌اجرای ELF64 است که شامل همان پیکربندی و تنظیمات اجرای ویندوزی است. این محقق خاطر نشان کرده است که این نسخه باج‌افزار لینوکسی اولین موردی است که به محض انتشار، به صورت عمومی به شکل گسترده در دسترس است. این باج‌افزار پس از اجرا بر روی سرورهای ESXi با اجرای esxcli command line tool لیست تمام ماشین‌های مجازی ESXi را بدست آورده و همه آنها را terminate میکند که کد آن بصورت زیر است: esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}' سپس این باج‌افزار فایل‌های ذخیره‌شده مربوط به ماشین‌های مجازی را از مسیر‌های ذخیره‌سازی آنها رمزنگاری می‌کند. به وسیله این روش، این باج‌افزار تعداد زیادی سرور را صرفا با یک دستور رمزنگاری می‌کند که میتواند بسیار خطرناک باشد. نوع فعالیت این باج‌افزار همانند Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, Hellokitty بوده که ماشین‌های مجازی را مورد هدف قرار می‌دهند و بایستی بسیار درخصوص این دسته از باج‌افزارها هشدار داده شود.