باج‌افزار HelloKitty در کمین سرورهای ESXi

به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتا، ظهور نسخه Linux این باج‌افزار و در نتیجه توانایی آن در رمزگذاری فایل‌های ESXi، دامنه تخریب HelloKitty را به‌شدت افزایش می‌دهد. به‌خصوص آنکه سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.

Vmware ESXi یکی از پرطرف‌دارترین بسترهای مجازی‌سازی است. در یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باج‌افزار خودبرای هدف قراردادن این بستر کرده‌اند، روندی صعودی داشته است.

اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوت‌هایی با توزیع‌های متداول Linux دارد اما همان شباهت‌های موجود به‌ویژه قابلیت اجرای فایل‌های ELF۶۴، آن را به این‌گونه باج‌افزارها آسیب‌پذیرتر می‌کند.

بررسی محققان نشان می‌دهد نسخه Linux باج‌افزار HelloKitty حداقل از دو ماه قبل، از esxcli برای متوقف کردن ماشین‌های مجازی استفاده می‌کرده است.

esxcli یک ابزار مدیریتی خط فرمان است که از طریق آن می‌توان فهرست ماشین‌های مجازی در حال اجرا را استخراج و آن‌ها را متوقف کرد.

هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آن‌ها بدون هرگونه ممانعت ESXi است؛ با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری به‌درستی بسته نشده باشد ممکن است داده‌های آن برای همیشه از بین برود.

باج‌افزار ابتدا تلاش می‌کند با سوئیچ soft ماشین مجازی را به‌صورت عادی خاموش کند.

esxcli vm process kill -t=soft -w=%d

درصورتی‌که ماشین همچنان در حال اجرا باقی بماند از سوئیچ hard برای خاموش‌کردن فوری آن بهره گرفته می‌شود.

esxcli vm process kill -t=hard -w=%d

اگر هیچ‌کدام از فرمان‌های بالا مؤثر نبود از سوئیچ force برای متوقف سازی ماشین استفاده می‌شود.

esxcli vm process kill -t=force -w=%d

پس ازکارافتادن ماشین مجازی، باج‌افزار رمزگذاری فایل‌های vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فراداده‌ها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز می‌کند.

به طور خلاصه می‌توان گفت که با این تکنیک امکان رمزگذاری تمامی ماشین‌های مجازی ESXi تنها با اجرای چند فرمان فراهم می‌شود.

اوایل این ماه نیز برخی منابع خبر دادند مهاجمان باج‌افزار REvil با به‌کارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آن‌ها هستند.

باج‌افزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قراردادن ماشین‌های مجازی ESXi  استفاده می‌کنند.

به نظر می‌رسد اصلی‌ترین دلیل مهاجمان در ساخت نگارش تحت Linux باج‌افزار خود، هدف قراردادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.

HelloKitty حداقل از نوامبر ۲۰۲۰ فعال بوده است. در مقایسه با باج‌افزارهای مطرحی که به‌صورت هدفمند به سازمان‌ها حمله می‌کنند، HelloKitty را نمی‌توان چندان فعال دانست.

حمله باج‌افزاری به سی‌دی پروجکت بزرگ‌ترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازی‌های ساخت این شرکت را نیز به سرقت برده‌اند؛ این مهاجمان پس از مدتی اعلام کردند که فایل‌های سرقت شده را به فروش رسانده‌اند.

لازم به ذکر است اخیراً نیز برخی منابع از حمله باج‌افزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیب‌پذیری‌های سری‌های ۱۰۰ محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند.

به گفته این منابع، ثابت‌افزار (Firmware) تجهیزات مورد حمله همگی از رده‌خارج و آسیب‌پذیر بوده‌اند.

هشدار امنیتی شرکت سونیک وال (SonicWall) در خصوص این حملات در لینک زیر قابل‌مطالعه است:

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-۸-x-remote-access-devices/۲۱۰۷۱۳۱۰۵۳۳۳۲۱۰

منابع:

https://www.bleepingcomputer.com/news/security/linux-version-of-hellokitty-ransomware-targets-vmware-esxi-servers/

https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-is-targeting-vulnerable-sonicwall-devices/

https://us-cert.cisa.gov/ncas/current-activity/۲۰۲۱/۰۷/۱۵/ransomware-risk-unpatched-eol-sonicwall-sra-and-sma-۸x-products