حمله باج‌افزار HelloKitty به سرورها لطفا کامنت دهید

سرورهای VMware ESXi هدف حمله باج‌افزار HelloKitty

باند باج‌افزار HelloKitty از یک بدافزار متفاوت “Linux” خود برای هدف قرار دادن پلتفرم ماشین مجازی “VMware ESXi” بهره می‌برند.

در حمله به سیستم‌های “VMware ESXi” یک نوع “Linux” از باج‌افزار HelloKitty به کار گرفته شده بود.

هدف این اقدام باند باج‌افزاری گسترش فعالیت علیه سازمان‌هاییست که پلتفرم‌های مجازی را در ابعادی بزرگ به کار می‌گیرند. این افراد با هدف قرار دادن سیستم‌های “VMware ESXi” می‌توانند با تاثیری قابل‌توجه روی قربانیان خود تا هر تعداد ممکن ماشین مجازی را رمزنگاری کنند.

محققان “MalwareHunterTeam” چندین نسخه “Linux ELF64” از این باج‌افزار را شناسایی کرده‌اند که برای هدف قرار دادن سرورهای “VMware ESXi” طراحی شده و ماشین‌های مجازی که روی آنها میزبانی میشوند را رمزنگاری میکند.

«از آنجایی که هیچکس هنوز به این موضوع اشاره نکرده است بگذارید من بگویم: نسخه “Linux” باج‌افزار HelloKitty حداقل از اوایل ماه مارس از “esxcli” برای متوقف کردن “VM”ها استفاده می‌کرده است…»

-MalwareHunterTeam

سایت “BleepinComputer” که در ابتدا این خبر را به اشتراک گذاشت نمونه‌هایی از نوع جدید را مورد بررسی قرار داده و تایید کرد که این بدافزار سعی می‌کند برای رمزنگاری فایل‌ها، ماشین‌های مجازی که روی سرورهای هدف اجرا می‌شوند را از کار بیاندازد تا از قفل شدن فایل‌ها جلوگیری کند.

به محض از کار افتادن ماشین‌های مجازی، این باج‌افزار فایلهای “vmdk.” (هارد دیسک مجازی)، “vmsd.” (اطلاعات اسنپشات و فراداده)، و “vmsn.” (که حالت فعال VM را شامل می‌شود) را رمزنگاری می‌کند.

باج‌افزار HelloKitty تنها تهدیدی نیست که سرورهای “ESXi” را هدف قرار می‌دهد؛ “Babuk” ، “RansomExx” ، “Mespinoza” و “DarkSide” نیز از دیگر باج‌افزارهایی هستند که این توانایی را دارند.

محققان تیم “MalwareHunterTeam” در ماه ژوئن یک نسخه “Linux” از باج‌افزار “REvil” را شناسایی کردند که آن هم پلتفرم “ESXi” را هدف قرار می‌داد.

منبع: securityaffairs

مترجم: زهرا خالقی