اكتشاف مجموعة من فيروسات الفدية تستهدف انظمة VMware ESXi و Linux

News

خدمة فدية جديدة تدعى "MichaelKors" تقوم بتشفير الملفات وتستهدف أنظمة Linux و VMware ESXi اعتبارًا من أبريل 2023.

May 16, 2023, 2 p.m.

اكتشاف مجموعة من فيروسات الفدية تستهدف انظمة VMware ESXi و Linux

اكتشفت شركة CrowStrike مجموعة جديدة من برامج الفدية كخدمة (RaaS) - MichaelKors - تستهدف خوادم VMware ESXi وانظمة Linux منذ الشهر الماضي.

ما هى اجهزة VMware ESXi؟

تعد اجهزة ال Virtual machine او ال VM اجهزة مفيدة جدا للمستخدمين فاذا اردت ان تجمع بين نظامين على جهازك كـ Linux و Windows ما عليك الا ان تستخدم برامج الـ VM، فمثلا تتيح لك استضافة نظام Linux على نظامك بدلا من شراء جهاز كمبيوتر آخر، تعمل برامج ال VM كـ Host اى كمضيف فى الوسط ولكن اذا اردت ان تستخدم ال VM مباشرة بدون وسيط ما عليك الا استخدام برامج الـ "bare- metal hypervisor" كبرنامج VMware ESXi وتشمل المنتجات المرتبطة بمنصة ESXi هى VMware vSphere Hypervisor, vCenter, ONE Access, Horizon.

ما هى فيروسات الفدية Ransomware as a Service (RaaS) ؟

Ransomware as a Service (RaaS) هو نموذج لتوفير الفدية الإلكترونية كخدمة عامة للأستخدام كما فى فكرة IaaS - PaaS - SaaS داخل انظمة Cloud حيث يعتبر RaaS نهجًا تجاريًا حيث يتم تطوير وتوزيع برامج الفدية من قبل مطوري البرامج الضارة الذين يعرضونها للمستأجرين الذين يرغبون في استخدامها لهجمات الفدية.

في حالة RaaS، يتولى المطور المسؤولية عن تطوير وصيانة البرمجيات الضارة، بما في ذلك إنشاء نسخ فدية مخصصة للمستأجرين. ويتم توفير واجهة برمجة تطبيقات (API) للمستأجرين للوصول إلى البرمجيات الضارة وتكوينها وتنفيذها في هجماتهم.

عادةً ما يتم توفير RaaS على شبكة الإنترنت المظلمة (Dark Web)، حيث يتم بيع الخدمة من قبل المطورين الضارين للمستأجرين المهتمين. يتم توفير الدعم الفني والتحديثات المستمرة للبرمجيات الضارة من قبل المطور، وتقاس الرسوم عادةً بناءً على عمليات الفدية التي تنفذها المستأجرين.

تمتاز RaaS بأنها تسهل لمجرمى الأنترنت دخول عالم الهجمات بالفدية بسهولة، حيث يتم توفير البرمجيات الضارة والبنية التحتية اللازمة لتنفيذ الهجمات دون الحاجة إلى خبرة تقنية كبيرة. يعزز هذا النموذج انتشار هجمات الفدية ويجعلها أكثر تعقيدًا لمكافحتها وتعزيز الدفاع الأمني.

ما الذى حدث ؟

يُعد استهداف برامج Hypervisor من VMware ESXi باستخدام برامج الفدية لتوسيع نطاق مثل هذه الحملات تقنية تُعرف بأسم hypervisor jackpotting، تم تبني هذا النهج من قبل العديد من مجموعات برامج الفدية ، بما في ذلك Royal. بجانب ذلك ، كشف تحليل من SentinelOne الأسبوع الماضي أن 10 عائلات مختلفة من برامج الفدية ، بما في ذلك Conti و REvil ، قد استخدمت كود مصدر Babuk الذي تم تسريبه في سبتمبر 2021 لتطوير خزانات لبرامج Hypervisors VMware ESXi.

جزء من السبب الذي جعل برامج Hypervisor VMware ESXi تصبح هدفًا جذابًا هو أن البرنامج يعمل مباشرة على خادم مادي ، مما يمنح المهاجم المحتمل القدرة على تشغيل ثنائيات ELF ضارة والحصول على وصول غير مقيد إلى الموارد الأساسية للجهاز .

وأشار CrowdStrike إلى أن أكثر ناقلات الهجوم شيوعًا ضد خوادم VMware ESXi هي سرقة بيانات اعتماد المستخدم. وجد فريق استخباراته أيضًا أن المهاجمين عادةً ما يكتسبون الدخول إلى شبكة مستهدفة من خلال طرق مختلفة ثم يحاولون بعد ذلك الحصول على بيانات اعتماد ESXi لتحقيق هدفهم النهائي ، والذي قد يتضمن أنشطة مثل نشر برامج الفدية في حوادث معينة.

وضحت ايضا CrowdStrike بأن:

"يدرك المزيد والمزيد من الجهات الفاعلة في مجال التهديد أن الافتقار إلى أدوات الأمان ، وعدم وجود تجزئة كافية للشبكات لواجهات ESXi ، ونقاط الضعف لـ ESXi تخلق بيئة غنية مستهدفة".

ممثلو برامج الفدية بعيدون عن الجماعات الوحيدة التي تضرب البنية التحتية الافتراضية. في مارس 2023 ، عزا Mandiant المملوك لشركة Google مجموعة دولة قومية صينية إلى استخدام Backdoor جديدة يطلق عليها اسم VIRTUALPITA و VIRTUALPIE في الهجمات التي تستهدف خوادم VMware ESXi.

ايضا وجود حملات هجوم متتابعة على VMware ESXi مثل التى تستغل ثغرة CVE-2021-21974، والتي يتوفر لها تصحيح منذ 23 فبراير 2021 لاستهداف خوادم ESXi واختراقها.

مقال: ظهور فيرس فدية جديد يستهدف اجهزة VMware ESXi

ما هو السبيل الى الحماية

وصفت VMware ، في مقالة تمت مشاركتها في 15 مايو 2023 ووصفتها بأنها "قديمة ويجب اعتبارها مهملة" ، مشيرة إلى أنها تخطط لتحديثها بـ "المعلومات الحالية" في المستقبل.

للتخفيف من تأثير هذا الهجوم، يُنصح المؤسسات بتجنب الوصول المباشر إلى ESXi hosts ، وتمكين المصادقة الثنائية ، وأخذ نسخ احتياطية دورية من وحدات تخزين بيانات ESXi ، وتطبيق تحديثات الأمان ، وإجراء مراجعات الوضع الأمني.

وضعت ايضا CrowdStrike بعد الحلول الأخرى لتجنب هذه النوعية من الهجوم يمكنك تفقدها من هنا

واخيرا قالت CrowdStrike :

"من المرجح أن يستمر المهاجمين في استهداف البنية التحتية الافتراضية القائمة على VMware". "يمثل هذا مصدر قلق كبير حيث تستمر المزيد من المؤسسات في نقل أعباء العمل والبنية التحتية إلى بيئات سحابية - كل ذلك من خلال بيئات VMWare Hypervisor."