باج‌گیری جدید هکرها با استفاده از رخنه قدیمی VmWare + روش پیشگیری

هکرهای ناشناس با استفاده از رخنه قدیمی موجود در ESXI -یکی از نر‌م‌افزارهای مجازی‌ساز VMWare برای استفاده بر روی سرورها- حملاتی را ترتیب داده‌اند که به سرورهای استفاده کننده از این نرم‌افزار آسیب می‌رساند. آن‌ها با رمزگذاری کردن داده‌های موجود در این سرورها صاحبان آن را تهدید می‌کنند که در صورتی که باج بزرگی را با استفاده از ارز دیجیتال بیت‌کوین نپردازند، اطلاعات کاربران آن‌ها را به صورت عمومی در اینترنت فاش خواهند کرد.

مقدار این باج 2.06 بیت‌کوین اعلام شده است. در زمان تنظیم این گزارش قیمت هر بیت‌کوین بیش از 21 هزار دلار است و این باج که پیش‌تر 19 هزار دلاری خوانده می‌شد، حالا حدود 42 هزار دلار برای آسیب‌دیدگان خرج می‌تراشد. بیشتر حملات در کشورهای اروپایی و آمریکای شمالی رخ داده است و تاکنون باعث نگرانی‌ها و خسارت‌های فراوانی شده است.

ESXI چیست؟

ESXI نر‌م‌افزاری است که به عنوان یک واسط مجازی‌ساز اجازه تقسیم‌بندی یک سرور به ماشین‌های مجازی مجزا و نصب سیستم‌عامل‌های مختلف بر روی این ماشین‌های مجازی را به کاربران می‌دهد. این نر‌م‌افزار به صورت یک Hypervisor یا واسط میان ماشین مجازی و سرور عمل می‌کند و اجازه می‌دهد که ماشین‌های مجازی به صورت مشترک از سخت‌افزارهای مختلف سرور استفاده کنند.

مشکل امنیتی ESXI از کجا شروع شد؟

دو سال پیش و در سال 2021 رخنه‌ای در ESXI پیدا شد که می‌توانست هدف حملات امنیتی از سوی هکرها قرار گیرد و مشکلاتی را برای کاربران آن ایجاد کند. VMWare در همان زمان و به سرعت Patch یا وصله‌ای را برای ترمیم این رخنه منتشر کرد که کاربران می‌توانستند با استفاده از آن یا به‌روزرسانی سرور و نرم‌افزار خود این مشکل را برطرف کنند.
با این حال بسیاری از کاربران مخصوصاً کسانی که از سرورها و ماشین‌های مجازی مدیریت نشده استفاده می‌کنند اما دانش فنی کافی ندارند، متوجه این مشکلات امنیتی نشده بودند. برخی دیگر از قربانیان هم با سهل‌انگاری به‌روزرسانی‌های ضروری اعلام شده را انجام نداده بودند. این مسئله باعث شد هکرها در آغاز فوریه 2023 پس از دوسال از بروز مشکل همچنان بتوانند حمله باج‌گیرانه خود را انجام دهند و کاربران و صاحبان کسب‌وکار زیادی را با خطرات امنیتی شدیدی از جنس افشای اطلاعات محرمانه مواجه کنند.

کشورهایی که بیشتری درگیری را داشته‌اند

گفته می‌شود تا زمان تنظیم این خبر بیش از 3200 سرور VMWare در سرتاسر جهان درگیر این حمله باجگیرانه شده‌اند. بیشترین حملات به ترتیب در کشورهای فرانسه، آمریکا، آلمان، کانادا و بریتانیا انجام شده است و این کشورها بیشترین خسارت‌ را از این حملات خورده‌اند.
تیم پاسخ به تهدیدات رایانه‌ای کشور فرانسه CERT-FR گزارش کرده است که حملات از روز سوم فوریه 2023 آغاز شده است. آژانس امنیت سایبری ایتالیا هم شنبه 4 فوریه هشدار حملات گسترده باج‌گیرانه علیه هزاران سرور در اروپا و آمریکای شمالی را اعلام کرده است.
مقامات امنیت سایبری آمریکا هم تأیید کرده‌اند که در حال تحقیق بر روی حملات باجگیرانه‌ای به نام ESXiArgs هستند. CISA در حال همکاری با بخش‌های دولتی و خصوصی ایالت متحده است تا تأثیرات این حملات را ارزیابی کند و به آسیب‌دیدگان این حملات سایبری کمک کند. مقامات آژانس امنیت سایبری آمریکا از خسارت دیدگان خواسته‌اند حملات علیه سرورهایشان را به پلیس فدرال آمریکا FBI گزارش دهند.

هویت هکرهای EXSI

تا این لحظه هویت هکرهای باج‌گیر مشخص نیست. اما شرکت خدمات ابری OVH در گزارش اولیه خود به نرم‌افزار رمزگذاری اطلاعات و باج افزار Nevada اشاره کرده است.

اسناد فاش شده نشان می‌دهد هکرها از روش اخاذی سه‌مرحله‌ای استفاده کرده‌اند. در این روش هکرها ابتدا سرور هدف را آلوده‌ می‌کنند. سپس تمامی اطلاعات را با روشی پیچیده رمزگذاری می‌کنند و در نهایت تهدید می‌کنند که در صورتی که باج مورد نظر که معمولاً از نوع ارز دیجیتال است پرداخت نشود اطلاعات را به صورت عمومی منتشر می‌کنند. هکرها خواستار دریافت 2.06 بیت‌کوین شده‌اند. هر کدام از یادداشت‌های تهدید کیف پول مقصد متفاوتی را برای پرداخت این مبلغ اعلام کرده است.
نکته این‌جاست که هیچ تضمینی وجود ندارد که هکرها پس از پرداخت این باج اطلاعات را برگردانند و اقدام به انتشار عمومی آن نکنند.

روش پیشگیری از حملات باج‌خواهانه هکرها

VMWare اعلام کرده است که این حملات تنها در صورتی اتفاق می‌افتد که مدیر سرور نرم‌افزار ESXi خود را سالها به‌روزرسانی نکرده باشد. دورین رویاک سخن‌گوی این شرکت گفته است توسعه‌دهندگان محصول این شرکت در فوریه 2021 یعنی دو سال پیش متوجه این حفره امنیتی با نام CVE-2021-21974 شده‌اند و همان‌ زمان وصله‌ای امنیتی را برای آن منتشر کرده‌اند و مسئله را توضیح داده‌اند. او از همه سازمان‌ها و کسب‌وکارها خواسته‌است برای اطمینان از امنیت خود از نسخه جدید و به‌روز این‌نرم‌افزار استفاده ‌کنند و Open SLP که بخش آسیب‌پذیر در این حمله بوده است را غیرفعال کنند.
رویاک می‌گوید: «پیش‌گیری‌های امنیتی اصل اساسی برای جلوگیری از حملات سایبری است. او می‌‌افزاید که سازمان‌هایی که از نسخه‌هایی از ESXi استفاده می‌کنند که می‌تواند دارای مشکل CVE-2021-2197 باشد و هدف حمله قرار گیرد، اگر هنوز وصله امنیتی را اجرا نکرده‌اند باید هر چه زودتر بر اساس موارد اشاره شده در مورد خطرات این حفره عمل کنند و سیستم‌ خود را به روز نمایند.

بیانیه امنیتی دو سال پیش VMware درباره این حفره امنیتی

شرکت VMWare دو سال پیش در فوریه 2022 هشداری امنیتی درباره این رخنه منتشر کرده بود. در این بیانیه به کاربران ESXi و vCenter Server در مورد این رخنه امنیتی هشدار داده شده بود. این بیانیه به وضوح بیان کرده است که این رخنه‌ می‌تواند به هکرها اجازه دهد دستوراتی را از راه دور بدون اجازه روی سیستم میزبان اجرا کنند. این شرکت به‌روزرسانی‌ها و وصله‌هایی امنیتی را در همان زمان برای حل این مشکل امنیتی منتشر کرده و راهکارهایی برای پیشگیری از این حملات ارائه کرده بود.
نسخه‌های 6.5، 6.7 و 7.0 از ESXi بیشترین درگیری را با این رخنه امنیتی داشتند که با به روزرسانی‌ها و راهکارهای موجود در این بیانیه امنیتی مشکل قابل حل بوده است.

منابع: techcrunch و تک اسپات